NightClub 恶意软件与 MoustchedBouncer 威胁演员相关
名为 NightClub 的恶意软件具有间谍软件和数据盗窃功能。该恶意程序至少存在四个版本,最早的变体可以追溯到 2014 年。
NightClub 恶意软件由名为 MoustachedBouncer 的威胁参与者使用。该组织已经活跃了近十年,主要针对驻白俄罗斯的外国大使馆。值得注意的目标包括四个国家的大使馆:欧洲两个,非洲和南亚各一个。除了 NightClub 之外,该威胁行为者还使用另一组称为 Disco 的工具。
NightClub 的原始版本专注于两个主要功能:监视文件和提取数据。该恶意软件通过电子邮件将窃取的内容发送到其命令与控制 (C&C) 服务器。早期版本仅限于下载 Microsoft Word(.doc、.docx)、Microsoft Excel(.xls、.xlsx)和 PDF(.pdf)文档等格式的文件。
然而,自 2016 年以来发布的版本能够从其 C&C 服务器获取额外的恶意模块。虽然从理论上讲,能够将额外内容渗透到受感染设备中的恶意软件可能会导致各种形式的感染,但实际上,该软件往往在某些限制下运行。
自 2020 年以来发起的 NightClub 攻击引入了后门模块,以及用于键盘记录(捕获键入的数据)、截取屏幕截图以及通过集成或附加麦克风录制音频的模块。
后门模块能够执行多种命令,包括(但不限于):创建进程、复制和重定位目录以及读取、移动和擦除文件。
值得注意的是,恶意软件开发人员经常会随着时间的推移增强他们的软件和方法。此外,NightClub 的活动与政治和地缘政治攻击有关。这些因素表明,即将到来的 NightClub 活动可能会引入不同或额外的功能和特性。
信息窃取者通常如何在网上传播?
信息窃取程序也称为信息窃取程序或数据窃取程序,是一种恶意软件,旨在渗透受害者的设备、收集敏感信息并将其发送给恶意行为者。这些恶意软件旨在获取有价值的数据,例如登录凭据、财务信息、个人详细信息等。信息窃取者可以通过各种在线方法进行分发:
恶意电子邮件附件:信息窃取者通常通过包含受感染附件的网络钓鱼电子邮件进行传播。这些附件可能伪装成文档(例如 PDF、Word 文件)、电子表格或可执行文件。一旦受害者打开附件,恶意软件就会被执行,设备就会受到损害。
电子邮件中的恶意链接:网络钓鱼电子邮件还可能包含恶意网站的链接。单击这些链接可能会导致偷渡式下载,恶意软件会在用户不知情的情况下自动下载并执行。
恶意广告:信息窃取者可以通过合法网站上显示的恶意广告(恶意广告)进行传播。这些广告可能会将用户引导至托管漏洞利用工具包的网站,这些漏洞利用工具包能够将恶意软件传送到易受攻击的设备。
受损或虚假网站:网络犯罪分子可能会创建虚假网站或损害合法网站来托管恶意软件。访问这些网站的用户可能会在不知不觉中下载并安装信息窃取程序。
免费软件和破解软件:网络犯罪分子可能会将信息窃取者与破解软件或盗版内容捆绑在一起。当用户下载并安装这些文件时,他们会无意中安装恶意软件。
偷渡式下载:当访问受感染或恶意网站时,会发生偷渡式下载,触发恶意软件自动下载并安装到用户设备上。
恶意文件共享网络:信息窃取者可以通过文件共享网络进行分发,尤其是那些托管盗版软件或内容的网络。下载并运行这些文件的用户可能会在不知不觉中执行恶意软件。