恶意软件即服务(MaaS)BunnyLoader近期活跃中

攻击描述



近期国外攻击者在出售一款名为“BunnyLoader”的恶意软件即服务(Malware-as-a-Service, MaaS)。山石网科情报中心获取了一批恶意样本,分析发现BunnyLoader可窃取包括加密货币钱包地址在内的敏感信息,以及下载执行其他恶意负载,并且攻击者在不断更新提供新的恶意功能。

简要分析



恶意样本启动后首先修改注册表,在
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
中创建一个名为“Spyware_Blocker”的新注册表项,值为BunnyLoader文件路径,以此来实现持久化。

恶意软件即服务(MaaS)BunnyLoader近期活跃中

接下来执行反虚拟机、反沙箱技术。例如检测是否加载了某些沙箱模块、是否存在docker容器或用户名是否为常见沙箱用户名。若检测到沙箱或虚拟机则恶意软件会终止活动。

恶意软件即服务(MaaS)BunnyLoader近期活跃中

然后恶意软件将收集受害者主机信息(ip、主机名、操作系统等)并携带这些信息向C2服务器发起GET请求,请求头中user agent为“BunnyLoader”。受害者主机将被注册到C2服务器。

恶意软件即服务(MaaS)BunnyLoader近期活跃中

注册完成后BunnyLoader可从C2处接收命令执行任务。目前有以下一些功能:(1)下载执行二阶段payload,一般为其他木马程序;(2)窃取敏感信息,如浏览器凭证、VPN、加密货币钱包信息等;(3)按键记录;(4)远程命令执行;(5)修改替换加密货币钱包地址等。

BunnyLoader使用powershell命令将收集的信息文件压缩为zip文档。然后使用curl将zip文档发送至C2服务器。

恶意软件即服务(MaaS)BunnyLoader近期活跃中

恶意软件即服务(MaaS)BunnyLoader近期活跃中

山石情报中心已收录相关样本,用户可以在山石网科威胁情报中心云瞻中查看相关IOC信息:

恶意软件即服务(MaaS)BunnyLoader近期活跃中


处置建议



用户可以通过使用山石网科的防火墙和NIPS产品,利用其C2和AV防护模块来提高网络安全,从而降低潜在风险。为确保最佳保护,用户应及时升级特征库,确保其包含最新安全特征信息。山石网科的防火墙不仅提供了先进的网络安全防护功能,还集成了态势感知云景的智能能力,可以高效地监测和拦截与APT组织相关的威胁情报(IOC)和恶意行为。此外,它还能够快速响应和拦截与当前安全趋势、安全事件和相关样本有关的威胁。


失陷指标



bbf53c2f20ac95a3bc18ea7575f2344b

dbf727e1effc3631ae634d95a0d88bf3
37[.]139[.]129[.]145

关于山石网科情报中心



山石网科情报中心,涵盖威胁情报狩猎运维和入侵检测与防御团队。 山石网科情报中心专注于保护数字世界的安全。以情报狩猎、攻击溯源和威胁分析为核心,团队致力于预防潜在攻击、应对安全事件。山石网科情报中心汇集网络安全、计算机科学、数据分析等专家,多学科融合确保全面的威胁分析。我们积极创新,采用新工具和技术提升分析效率。团队协同合作,分享信息与见解,追求卓越,为客户保驾护航。无论是防范未来威胁还是应对当下攻击,我们努力确保数字世界安全稳定。其中山石网科网络入侵检测防御系统,是山石网科公司结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如 PCI、等级保护、企业内部控制规范等要求。

山石云瞻威胁情报中心:

https://ti.hillstonenet.com.cn/

恶意软件即服务(MaaS)BunnyLoader近期活跃中

山石云影沙箱:

https://sandbox.hillstonenet.com.cn/

恶意软件即服务(MaaS)BunnyLoader近期活跃中

原文始发于微信公众号(山石网科安全技术研究院):恶意软件即服务(MaaS)BunnyLoader近期活跃中

版权声明:admin 发表于 2023年10月30日 下午5:55。
转载请注明:恶意软件即服务(MaaS)BunnyLoader近期活跃中 | CTF导航

相关文章

暂无评论

暂无评论...