WinDealer 恶意软件
安全研究人员已经确定了几个新的恶意软件系列。其中一个名为 WinDealer,并与名为 LuoYu 的威胁演员有关。罗宇已经存在了十多年,主要针对位于中国的实体执行攻击,例如外国外交机构以及在国防和电信领域处理敏感信息的公司。
而罗宇之前使用的攻击是利用受感染的网站,后来被用作水坑。 2020 年,威胁参与者转向了 WinDealer 恶意软件的新分发方法。威胁参与者开始滥用合法应用程序的更新过程。
研究人员遇到了一个十年前经过数字签名和编译的可执行文件,该可执行文件用于部署 WinDealer。令人困惑的部分是软件更新程序使用硬编码的 URL 来获取补丁。位于该地址的文件不是恶意的,但在极少数情况下,更新会下载 WinDealer 实例而不是合法更新。
WinDealer 具有广泛的功能并且是一个模块化工具,允许操作员对文件执行读写操作、抓取系统信息、双向传输文件、执行远程命令和捕获屏幕截图。
恶意软件的基础设施似乎令人难以置信。分析表明,WinDealer 是使用普通 HTTP 请求分发的,大多数情况下这些请求会返回正常、合法的可执行文件。此外,恶意软件可以与之通信的 IP 和域的范围似乎过大,即使对于更大的
威胁参与者,这使研究人员认为可能有一个人参与了使用恶意软件的攻击。