WinDealer 惡意軟件
安全研究人員已經確定了幾個新的惡意軟件系列。其中一個名為 WinDealer,並與名為 LuoYu 的威脅演員有關。羅宇已經存在了十多年,主要針對位於中國的實體執行攻擊,例如外國外交機構以及在國防和電信領域處理敏感信息的公司。
而羅宇之前使用的攻擊是利用受感染的網站,後來被用作水坑。 2020 年,威脅參與者轉向了 WinDealer 惡意軟件的新分發方法。威脅參與者開始濫用合法應用程序的更新過程。
研究人員遇到了一個十年前經過數字簽名和編譯的可執行文件,該可執行文件用於部署 WinDealer。令人困惑的部分是軟件更新程序使用硬編碼的 URL 來獲取補丁。位於該地址的文件不是惡意的,但在極少數情況下,更新會下載 WinDealer 實例而不是合法更新。
WinDealer 具有廣泛的功能並且是一個模塊化工具,允許操作員對文件執行讀寫操作、抓取系統信息、雙向傳輸文件、執行遠程命令和捕獲屏幕截圖。
惡意軟件的基礎設施似乎令人難以置信。分析表明,WinDealer 是使用普通 HTTP 請求分發的,大多數情況下這些請求會返回正常、合法的可執行文件。此外,惡意軟件可以與之通信的 IP 和域的範圍似乎過大,即使對於更大的
威脅參與者,這使研究人員認為可能有一個人參與了使用惡意軟件的攻擊。
June 3, 2022
