IT之家了解到,ViperSoftX 恶意程序早在 2020 年就已经曝光,之前由安全研究公司 Cerberus、Colin Cowie 以及 Fortinet 发布的一份联合报告中披露。
今天,安全公司 Avast 分享了关于恶意浏览器扩展的更多细节,以及该恶意软件近期的恶意发展。自 2022 年年初以来,Avast 已经检测并阻止了 93,000 次针对其客户的 ViperSoftX 感染企图,主要影响到美国、意大利、巴西和印度地区用户。
通过分析 ViperSoftX 和 VenomSoftX 样本中硬编码的钱包地址,Avast 发现到 2022 年 11 月 8 日,这两者总共为其黑客赚取了约 13 万美元。这种被盗的加密货币是通过转移被攻击设备上尝试的加密货币交易获得的,不包括平行活动的利润。
11 月 22 日消息,Google Cloud Threat Intelligence 团队近日宣布开源 YARA 规则和 VirusTotal Collection of indicators of compromise (IOCs) ,帮助企业抵御 Cobalt Strike 攻击。
Google Cloud Threat Intelligence 安全工程师格雷格・辛克莱尔(Greg Sinclair)表示:
我们正在向社区发布一套开源的 YARA 规则,并将其整合到 VirusTotal 集合中,帮助社区标记和识别 Cobalt Strike 的组件及其各自的版本。由于有些版本已经被威胁行为者滥用,因此检测 Cobalt Strike 的确切版本,是确定非恶意行为者使用合法性的一个重要组成部分。
IT之家了解到,Cobalt Strike 的破解版和泄露版在大多数情况下至少落后一个版本,这使得谷歌能够收集数百个被黑客使用的框架、模板和信标样本,以建立具有高度准确性的基于 YARA 的检测规则。
辛克莱尔补充道:
我们的目标是进行高保真检测,以便能够准确地确定特定 Cobalt Strike 组件的版本。只要有可能,我们会建立签名来检测 Cobalt Strike 组件的特定版本。
IT之家了解到,Cobalt Strike(由 Fortra 公司开发,曾叫做 Help Systems)是一个合法的渗透测试工具,自 2012 年以来一直处于开发状态。它被设计为红色团队的攻击框架,用于扫描其组织的基础设施,以寻找漏洞和安全漏洞。这导致 Cobalt Strike 成为网络攻击中最常用的工具之一,可能导致数据被盗和勒索软件。