我们近期在调查一起涉及亚洲某计算机的入侵事件时,发现了BellaCiao恶意软件家族的一个新变种,该变种被命名为BellaCPP,是用C++编写的。BellaCiao最初在2023年4月出现,已被公开归因于APT组织Charming Kitten。这个恶意软件家族以其通过PDB路径展示大量信息而闻名,包括我们通过分析历史记录能够解读的版本控制方案。BellaCPP是一个DLL文件,名为“adhapl.dll”,位于C:WindowsSystem32目录下,有一个名为“ServiceMain”的导出函数,表明它被设计为作为Windows服务运行。它的行为与早期版本的BellaCiao相似,包括使用XOR加密解密字符串、加载DLL文件、解析函数以及生成域名等。我们评估BellaCPP很可能创建了一个SSH隧道,尽管与早期版本相比,它缺少了硬编码的webshell。我们还发现,感染的计算机上还存有较旧版本的BellaCiao样本。基于这些元素,我们以中高置信度评估BellaCPP与Charming Kitten威胁行为者有关。这一发现强调了对网络和计算机进行彻底调查的重要性,因为攻击者可能会部署未知样本,这些样本可能不会被安全解决方案检测到,从而使攻击者在“已知”样本被移除后仍能在网络中保持立足点。
原文链接:
https://securelist.com/bellacpp-cpp-version-of-bellaciao/115087/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...