最近发现了一种新型恶意软件,该恶意软件在最终被抓获之前设法绕过了 56 种不同的防病毒产品。
该恶意软件在执行时可能会对您的设备造成严重损害——而且它似乎制作得非常好,以至于它可能是民族国家行为者的产物。打开一个电子邮件附件是授予它足够的条目来造成严重破坏所需要的。
来自 Palo Alto 的威胁情报团队 Unit 42 刚刚 发布了一份关于恶意软件的报告,该恶意软件设法避免了来自 56 种大型防病毒产品的检测。据该团队称,该恶意软件的构建、打包和部署方式与 APT29 威胁组织(也称为 Iron Ritual 和 Cozy Bear)使用的各种技术非常相似。该组织被归咎于俄罗斯的外国情报局 (SVR),这表明该恶意软件可能是一个民族国家事务。
根据 Unit 42 的说法,该恶意软件于 2022 年 5 月首次被发现,被发现隐藏在一种非常奇怪的文件类型中——ISO,这是一种用于承载光盘全部内容的磁盘映像文件。该文件带有一个恶意负载,Unit 42 认为该负载是使用名为 Brute Ratel (BRC4) 的工具创建的。 BRC4 以难以检测而自豪,理由是该工具的作者对防病毒软件进行了逆向工程,以使该工具更加隐秘。 Brute Ratel 在 APT29 中特别受欢迎,进一步强调了这种恶意软件可能与俄罗斯 Cozy Bear 组织有关的说法。
ISO 文件伪装成一个名叫 Roshan Bandara 的人的简历(简历)。到达收件人的电子邮件邮箱后,它什么也不做,但单击时,它会作为 Windows 驱动器挂载并显示一个名为“Roshan-Bandara_CV_Dialog”的文件。那时,很容易上当——该文件看起来是典型的 Microsoft Word 文件,但如果您单击它,它会执行 cmd.exe 并继续安装 BRC4。
完成此操作后,您的 PC 可能会发生任何事情——这完全取决于攻击者的意图。
Unit 42 指出,发现这种恶意软件令人担忧,原因有很多。一方面,它很有可能与 APT29 相关联。除上述原因外,ISO 文件是在新版本 BRC4 公开的同一天创建的。这表明国家支持的网络攻击者可能会安排他们的攻击时间,以便在最合适的时间部署它们。 APT29 过去也使用过恶意 ISO,因此一切似乎都符合要求。
几乎无法检测到的情况本身就令人担忧。要使恶意软件变得如此隐秘需要大量工作,这表明当错误的团队使用此类攻击时,可能会构成真正的威胁。
你怎么能保持安全?
在最近几年网络攻击大量增加的频繁报道中,人们可以希望许多用户现在更加意识到过度信任随机人员及其文件的危险。然而,有时这些攻击来自意想不到的来源并以各种形式出现。 巨大的分布式拒绝服务 (DDoS) 攻击一直在发生,但对于企业用户来说,这些更是一个问题。有时,我们知道并信任的软件可以用作诱饵,以欺骗我们相信下载。当危险似乎潜伏在每个角落时,如何保持安全?
首先,重要的是要认识到,许多此类大规模网络攻击都是针对组织的——个人不太可能成为目标。但是,在这种恶意软件隐藏在伪装成简历的 ISO 文件中的特殊情况下,它可能会被各种 HR 设置中的人员(包括较小组织中的人员)打开。较大的企业通常拥有更强大的 IT 部门,不允许打开意外的 ISO 文件——但您永远不知道什么时候可能会漏掉一些东西。
考虑到上述情况,遵循我们许多人有时仍会忘记的非常简单的规则绝不是一个坏主意——永远不要打开来自未知收件人的附件。对于积极收集简历的人力资源部门来说,这可能很困难,但作为个人,您可以将该规则实施到您的日常生活中,而不会错过任何事情。选择可用的最佳防病毒软件选项之一也不是一个坏主意。但是,通过简单地浏览而不访问可能看起来不太合法的网站以及对您的电子邮件保持谨慎,可以获得最大的安全性。