卡巴斯基专家发现了一种先前未知的Loki后门版本,该后门已被用于对至少12家俄罗斯公司进行针对性攻击。这些攻击发生在各个行业,包括工程和医疗保健行业。卡巴斯基检测将这种恶意软件检测为Backdoor.Win64.MLoki,是开源后利用框架Mythic的私有代理版本。
Loki 通过带有恶意附件的网络钓鱼邮件到达受害者的计算机,由毫无戒备心的用户自行启动。一旦安装,Loki 就会为攻击者在被入侵系统上提供广泛的功能,如管理 Windows 访问令牌、向运行中的进程注入代码,以及在受感染机器与命令和控制服务器之间传输文件。
“开源后利用框架越来越受欢迎,虽然它们对加强基础设施安全很有用,但我们看到攻击者越来越多地采用和修改这些框架来传播恶意软件,”卡巴斯基研究开发人员Artem Ushkov表示:“Loki是攻击者测试和应用各种框架以进行恶意目的,并对其进行修改以阻碍检测和溯源的最新示例。”
Loki代理本身不支持流量隧道,因此攻击者使用ngrok和gTunnel等公开可用的实用程序来访问专用网段。卡巴斯基发现,在某些情况下,gTunnel工具通过使用goreflect进行修改,以在目标计算机的内存中执行恶意代码,从而规避检测。
目前,尚无足够的数据将Loki溯源至任何已知的威胁行为者组织。但是,卡巴斯基的分析表明,攻击者对每个目标都采取了谨慎的个性化策略,而非依赖标准的钓鱼邮件模板。
请访问 Securelist 阅读报告全文。
为了最大限度地提高组织的安全性,卡巴斯基建议:
· 除非绝对必要,否则不要将远程桌面服务(如RDP)暴露在公共网络上,并且始终使用高强度密码。
· 确保您所使用的商业VPN和其他服务器端软件解决方案始终保持更新,因为对这类软件的漏洞利用是常见的勒索软件感染途径。还要确保客户端应用程序保持更新。
· 将您的防御策略集中在检测横向移动和数据向互联网的外泄上。特别注意传出流量,以检测网络罪犯的连接。建立入侵者无法篡改的脱机备份。确保您可以在需要时或在紧急情况下快速访问它们。使用最新的威胁情报信息,了解威胁行动者使用的最新TTP。
· 使用托管检测和响应服务,以帮助在攻击者达成其最终目标之前,在早期阶段识别并阻止攻击。
· 要保护企业环境,请对员工进行安全教育培训。专门的培训课程可以提供帮助,例如卡巴斯基自动化安全意识平台提供的课程。
· 使用复杂的安全解决方案,结合端点保护和自动化事件响应功能,例如卡巴斯基NEXT。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.