Purple Fox恶意软件在新战役中增加了蠕虫功能
紫狐是一种已经存在数年的恶意软件。但是,安全研究人员报告说,Purple Fox的活动和感染有了新的增长,这在很大程度上是由于恶意软件工具包的新扩展以及软件包中蠕虫功能的增加所致。
与Guardicore合作的研究人员发布了有关Purple Fox的新报告。该报告概述说,尽管该恶意软件以前使用网络钓鱼电子邮件和漏洞利用工具包作为其主要传播手段,但现在已增加了类似蠕虫的功能。
Purple Fox的新感染媒介包括攻击具有主动连接到Internet的Windows计算机以及强行强制使用服务器消息块密码。
紫狐袭击的新潮
这种渗透新机器的新方法直到最近才被发现,这似乎是传播紫狐的新运动。在2020年底和2021年第一个月紫狐袭击事件短暂下降之后,攻击次数猛增了600%,总数达到了惊人的90,000。
恶意软件的受感染服务器网络中的大多数由带有IIS 7.5的过时版本的Microsoft Server以及Microsoft FTP组成。这两种产品都处于被恶意软件利用的版本中,已知漏洞已被报告描述为具有“不同严重性级别”。
Purple Fox一旦部署在目标系统上并具有代码执行功能,它就会通过运行“ for”循环的新服务来建立持久性,并击中安装最终有效负载的URL池。
实际的有效载荷打包为假的Windows更新MSI安装程序。 Guardicore指出,安装程序具有不同的哈希值,这是一种快速而肮脏的尝试,以使任何人都无法检查相似的攻击并将它们链接到同一活动或源。
向最初没有恶意传播技术的恶意软件添加自我传播技术并不是什么新颖的或革命性的事情。研究人员在2021年初报告说,甚至Ryuk(臭名昭著的勒索软件系列之一)也具有类似蠕虫的自我传播功能。
与Purple Fox类似,Ryuk也使用服务器消息块网络共享和端口扫描进行传播。