Purple Fox惡意軟件在新戰役中增加了蠕蟲功能
紫狐是一種已經存在數年的惡意軟件。但是,安全研究人員報告說,Purple Fox的活動和感染有了新的增長,這在很大程度上是由於惡意軟件工具包的新擴展以及軟件包中蠕蟲功能的增加所致。
與Guardicore合作的研究人員發布了有關Purple Fox的新報告。該報告概述說,儘管該惡意軟件以前使用網絡釣魚電子郵件和漏洞利用工具包作為其主要傳播手段,但現在已增加了類似蠕蟲的功能。
Purple Fox的新感染媒介包括攻擊具有主動連接到Internet的Windows機器以及強行強制使用服務器消息塊密碼。
紫狐襲擊的新潮
這種滲透新機器的新方法直到最近才被發現,這似乎是傳播紫狐的新運動。在2020年底和2021年第一個月紫狐襲擊事件短暫下降之後,攻擊次數猛增了600%,總數達到了驚人的90,000。
該惡意軟件的受感染服務器網絡中的大多數由帶有IIS 7.5的過時版本的Microsoft Server以及Microsoft FTP組成。這兩種產品都處於被惡意軟件利用的版本中,已知漏洞已被報告描述為具有“各種嚴重性級別”。
Purple Fox一旦部署在目標系統上並具有代碼執行功能,便通過運行“ for”循環的新服務建立持久性,並擊中安裝最終有效負載的URL池。
實際的有效載荷打包為假的Windows更新MSI安裝程序。 Guardicore指出,安裝程序具有不同的哈希值,這是一種快速而骯髒的嘗試,目的是使任何人都無法檢查相似的攻擊並將它們鏈接到同一活動或源。
將惡意軟件自傳播技術添加到最初沒有惡意軟件的情況下,並不是什麼新事物或革命性的事物。研究人員在2021年初報告說,甚至Ryuk(臭名昭著的勒索軟件系列之一)也具有類似蠕蟲的自我傳播功能。
與Purple Fox類似,Ryuk也使用服務器消息塊網絡共享和端口掃描進行傳播。