网络安全公司Prevailion披露了一个称为MasterMana的僵尸网络,作为长期进行网络金融犯罪之用,而由于MasterMana僵尸网络使用的木马以及服务器租用费用低廉,Prevailion提到这个有趣的现象,企业需要花越来越多的钱维护安全,但是网络攻击的成本却越来越低。
MasterMana僵尸网络被用来进行网络金融诈骗,通过入侵企业电子邮件,并感染系统打开后门,而主要目的便是要窃取用户加密货币钱包信息、另外还会偷取用户凭证以及网络浏览历史数据。Prevailion提到,这个网络攻击行动与知名的网络犯罪组织Gorgon Group相关,Gorgon Group活跃多年,除了进行网络犯罪外,也常涉及情报收集的事件。安全人员估计MasterMana僵尸网络是从2018年12月开始,没有针对特定的目标,无差别地把企业电子邮件地址当作攻击目标。
攻击链则从黑客发送给企业的网络钓鱼电子邮件开始,邮件会附加受感染的文件,这些文件都是微软的格式,包含Word、Excel、PowerPoint与Publisher文件,当受害者打开文件后,便会通过Bitly连接转址到恶意的博客,这个博客网页含有恶意的JavaScript,当嵌入的JavaScript被解码之后,实际则为一个VBS脚本,并将用户的流量导向第三方网站服务Pastebin上。
黑客同样结合利用JavaScript与VBS脚本,终止了刚刚用户打开的Word和Excel等程序实例,并且创建调度任务与修改注册表键值,为之后做准备。受害者将下载一个.NET dll,这个文件会执行程序掏空(Process Hollowing)以及加载无文件后门的动作。
研究人员提到,攻击者一开始使用免费的远程访问木马Revenge Rat,但在一星期之后,改用另一个著名木马Azorult,而该木马在网络论坛售价仅约100美元。Azorult功能强大,不只可以窃取用户账号密码、Cookie、网络历史纪录以及加密货币钱包,还能枚举主机、上传下载文件,并拍摄受害者的屏幕截屏,这个木马可以让黑客部署矿工程序或勒索病毒。而MasterMana僵尸网络为了规避侦测,租赁虚拟专用服务器,费用粗估约为60美元。
Prevailion表示,MasterMana僵尸网络属于中等复杂度的攻击,由于足够复杂,所以可以避过第三方服务的自动侦测,但又不如APT等级的复杂度,因此能避免吸引安全人员对攻击活动的关注。另外,MasterMana僵尸网络也凸显了安全威胁的不对称性,企业花费更多的钱创建安全解决方案,但是黑客却只要利用一点费用就能进行攻击行动。
研究人员提到,虽然MasterMana僵尸网络感染机制,依赖半信任的第三方网站,但由于采用了通用的后门程序,因此企业只要更新端点解决方案,就能轻易地阻断攻击。