网络安全公司Trend Micro检测到,黑客组织Outlaw目前已更新升级其窃取企业数据的工具包,距今已近半年时间。

2月10日,Trend Micro发布的一份分析报告显示,去年6月以来表面上一直保持沉默的不法分子在12月再次活跃起来,他们的工具包功能得到了升级,现在瞄准了更多的系统。这些工具包的目的是窃取汽车和金融行业的数据。

工具包的新功能

该团伙所取得的新进展包括扫描器参数和目标、用于扫描器活动的领先性突破技术、通过清除竞争对手和他们自己早期的矿工等提高挖矿的收益。

据分析,新的工具包攻击了基于Linux和Unix的操作系统、易受攻击的服务器和物联网设备。黑客还使用了简单的基于PHP的web shell——上传到服务器上的恶意脚本,目的是为攻击者提供对设备的远程访问和管理权限。分析进一步说明:

“虽然在本次活动中未观察到由网络钓鱼或社工发起的常规化程序,但我们发现网络上存在多个被视为“响亮”的攻击。这些攻击涉及故意从命令和控制(C&C)服务器启动的IP范围的大规模扫描操作。蜜网图(honeynet graphs)显示了与特定行为相关的活动峰值,表明这种扫描是定时的。”

攻击发起的初始位置

攻击表面上是从一个寻找易受攻击设备的虚拟专用服务器(VPS)开始发起的。博文中写道:“一旦感染,C&C为被感染系统发出的命令会发出一个响亮的扫描活动,并通过立即发送一个“整套”二进制文件来传播僵尸网络,这些文件的命名约定与目标主机中已有的相同,很可能是指望通过‘隐藏安全’的方式来突破。”。

通过新的工具,不法分子表面上利用以前开发的代码,脚本和命令。该组织还使用大量的IP地址输入项作为按国家分组的扫描活动的方式。这显然表示他们能够在一年中的特定时期内攻击特定地区。

黑客工具进步

早在今年6月,Trend Micro就声称检测到一个网站通过一个后门在传播一个僵尸网络,其特征就是包含一个门罗币(XMR)挖矿组件。该公司将恶意软件归类为非法软件,因为其所采用的技术几乎与以前的操作相同。

该软件还配备了分布式拒绝服务(DDoS)功能,“允许网络罪犯通过加密货币挖矿以及提供DDoS出租服务来赚钱”.

今年1月,据称由朝鲜政府赞助的拉扎鲁斯(Lazarus)黑客组织部署了新型病毒来窃取加密货币。该组织一直在使用一个被改进后的名为QtBitcoin Trader的开源加密货币交易接口来传播和执行这款被称为“Operation AppleJeus”的恶意代码.