详细内容或原文请订阅后点击阅览
“Squirrelwaffle” 恶意文档分析
摘要 Squirrelwaffle 是一种新兴的恶意软件威胁,从 9 月 13 日左右开始,一些安全研究人员注意到了这一点。TheAnalyst,@ffforward 注意到“TR”僵尸网络上传递了一种新的有效载荷。恶意软件流量分析的 Brad Duncan 还观察到,这种新的加载程序是由与历史上传递 Qakbot 银行木马相同的“TR”基础设施传递的。他……阅读
来源:Security Soup _恶意软件分析摘要
Squirrelwaffle 是一种新兴恶意软件威胁,自 9 月 13 日左右开始,一些安全研究人员注意到了这一点。TheAnalyst,@ffforward 注意到“TR”僵尸网络上出现了一种新的有效载荷。
TheAnalyst,@ffforward恶意软件流量分析的 Brad Duncan 也观察到,这种新的加载程序是由与历史上交付 Qakbot 银行木马相同的“TR”基础设施交付的。他还指出,该名称来自 Proofpoint 规则集中的标签。
恶意软件流量分析据 Duncan 称,
Proofpoint 的新兴威胁规则集中使用名称“Squirrelwaffle 加载程序”来识别来自此恶意软件的流量。 https://www.malware-traffic-analysis.net/2021/09/17/index.html
Proofpoint 的新兴威胁规则集中使用名称“Squirrelwaffle 加载器”来识别来自此恶意软件的流量。
https://www.malware-traffic-analysis.net/2021/09/17/index.html在这篇博客中,我们将快速浏览最近的 Squrrelwaffle 恶意文档,以便深入了解运营商的 TTP 和恶意软件的感染链,我希望这将有助于其他研究人员和响应者识别和对抗这一新威胁。
交付和执行
最近的下载器恶意文档似乎是通过嵌入 URL 的电子邮件活动传递的。报告似乎还表明,这些活动利用了在历史上的 Emotet 和 Qakbot 活动中普遍使用的回复链线程劫持技术。如果用户点击 URL,则会提供包含 Microsoft Word 文档的 ZIP 存档。
加载程序以命名约定“www[1-5]{1}/.dll”写入 C:\ProgramData 目录,具体取决于从中检索它的 C2。然后通过 rundll32 进程执行 DLL,并使用导出“ldr”函数的参数。可以预见的是,后续有效载荷据报道是 CobaltStrike。
rundll32