PurpleFoxマルウェアが新しいキャンペーンにワーム機能を追加
Purple Foxは、数年前から存在しているマルウェアの一種です。ただし、セキュリティ研究者は、主にマルウェアのツールキットの新しい拡張とパッケージへのワーム機能の追加によって引き起こされた、PurpleFoxのアクティビティと感染の新たな増加を報告しています。
Guardicoreと協力している研究者は、PurpleFoxに関する新しいレポートを公開しました。レポートは、マルウェアが以前はフィッシングメールとエクスプロイトキットを主要な伝播手段として使用していたが、現在はワームのような機能を追加していることを概説しています。
Purple Foxの新しい感染ベクトルには、インターネットへのアクティブな接続を備えたWindowsマシンへの攻撃と、サーバーメッセージブロックパスワードの総当たり攻撃が含まれます。
パープルフォックス攻撃の新たな急増
新しいマシンに侵入するこの新しい手段は、パープルフォックスを広めるための新しいキャンペーンのように見える最近になって発見されました。 2020年の終わりと2021年の最初の月にパープルフォックスの攻撃が一時的に減少した後、攻撃は600%急増し、合計は驚異的な90,000に達しました。
マルウェアの侵害されたサーバーのネットワークの大部分は、IIS7.5を搭載した古いバージョンのMicrosoftServerとMicrosoftFTPで構成されています。これらの製品は両方とも、マルウェアによって悪用されたバージョンで、レポートが「さまざまな重大度レベル」を持っていると説明している既知の脆弱性を持っています。
Purple Foxは、ターゲットシステムにデプロイされ、コード実行機能を実現すると、「for」ループを実行する新しいサービスを通じて永続性を確立し、最終的なペイロードをインストールするURLのプールにアクセスします。
実際のペイロードは、偽のWindows UpdateMSIインストーラーとしてパッケージ化されています。 Guardicoreは、インストーラーには異なるハッシュがあることを指摘しました。これは、同様の攻撃を調べて同じキャンペーンまたはソースにリンクしようとする人を混乱させるための迅速で汚い試みです。
元々それらがなかったマルウェアに自己増殖技術を追加することは、新しいことでも革新的なことでもありません。最も悪名高いランサムウェアファミリーの1つであるRyukでさえ、2021年初頭に研究者によって報告されたように、ワームのような自己増殖機能で更新されました。
Purple Foxと同様に、Ryukもサーバーメッセージブロックネットワーク共有とポートスキャンを使用して拡散します。