NightClub 惡意軟件與 MoustchedBouncer 威脅演員相關
名為 NightClub 的惡意軟件具有間諜軟件和數據盜竊功能。該惡意程序至少存在四個版本,最早的變體可以追溯到 2014 年。
NightClub 惡意軟件由名為 MoustachedBouncer 的威脅參與者使用。該組織已經活躍了近十年,主要針對駐白俄羅斯的外國大使館。值得注意的目標包括四個國家的大使館:歐洲兩個,非洲和南亞各一個。除了 NightClub 之外,該威脅行為者還使用另一組稱為 Disco 的工具。
NightClub 的原始版本專注於兩個主要功能:監視文件和提取數據。該惡意軟件通過電子郵件將竊取的內容髮送到其命令與控制 (C&C) 服務器。早期版本僅限於下載 Microsoft Word(.doc、.docx)、Microsoft Excel(.xls、.xlsx)和 PDF(.pdf)文檔等格式的文件。
然而,自 2016 年以來發布的版本能夠從其 C&C 服務器獲取額外的惡意模塊。雖然從理論上講,能夠將額外內容滲透到受感染設備中的惡意軟件可能會導致各種形式的感染,但實際上,該軟件往往在某些限制下運行。
自 2020 年以來發起的 NightClub 攻擊引入了後門模塊,以及用於鍵盤記錄(捕獲鍵入的數據)、截取屏幕截圖以及通過集成或附加麥克風錄製音頻的模塊。
後門模塊能夠執行多種命令,包括(但不限於):創建進程、複製和重定位目錄以及讀取、移動和擦除文件。
值得注意的是,惡意軟件開發人員經常會隨著時間的推移增強他們的軟件和方法。此外,NightClub 的活動與政治和地緣政治攻擊有關。這些因素表明,即將到來的 NightClub 活動可能會引入不同或額外的功能和特性。
信息竊取者通常如何在網上傳播?
信息竊取程序也稱為信息竊取程序或數據竊取程序,是一種惡意軟件,旨在滲透受害者的設備、收集敏感信息並將其發送給惡意行為者。這些惡意軟件旨在獲取有價值的數據,例如登錄憑據、財務信息、個人詳細信息等。信息竊取者可以通過各種在線方法進行分發:
惡意電子郵件附件:信息竊取者通常通過包含受感染附件的網絡釣魚電子郵件進行傳播。這些附件可能偽裝成文檔(例如 PDF、Word 文件)、電子表格或可執行文件。一旦受害者打開附件,惡意軟件就會被執行,設備就會受到損害。
電子郵件中的惡意鏈接:網絡釣魚電子郵件還可能包含惡意網站的鏈接。單擊這些鏈接可能會導致偷渡式下載,惡意軟件會在用戶不知情的情況下自動下載並執行。
惡意廣告:信息竊取者可以通過合法網站上顯示的惡意廣告(惡意廣告)進行傳播。這些廣告可能會將用戶引導至託管漏洞利用工具包的網站,這些漏洞利用工具包能夠將惡意軟件傳送到易受攻擊的設備。
受損或虛假網站:網絡犯罪分子可能會創建虛假網站或損害合法網站來託管惡意軟件。訪問這些網站的用戶可能會在不知不覺中下載並安裝信息竊取程序。
免費軟件和破解軟件:網絡犯罪分子可能會將信息竊取者與破解軟件或盜版內容捆綁在一起。當用戶下載並安裝這些文件時,他們會無意中安裝惡意軟件。
偷渡式下載:當訪問受感染或惡意網站時,會發生偷渡式下載,觸發惡意軟件自動下載並安裝到用戶設備上。
惡意文件共享網絡:信息竊取者可以通過文件共享網絡進行分發,尤其是那些託管盜版軟件或內容的網絡。下載並運行這些文件的用戶可能會在不知不覺中執行惡意軟件。