详细内容或原文请订阅后点击阅览
Dark Gate 恶意软件活动使用 Samba 文件共享
2024 年 3 月至 4 月的 Dark Gate 恶意软件活动展示了攻击者如何利用合法工具和服务来分发恶意软件。Palo Alto Networks Unit 42 的研究人员分享了有关 2024 年 3 月至 4 月 DarkGate 恶意软件活动的详细信息。威胁行为者使用 Microsoft Excel 文件从面向公众的 SMB 文件共享下载恶意软件包。研究人员指出[…]
来源:Security Affairs _恶意软件Dark Gate 恶意软件活动使用 Samba 文件共享
Dark Gate 恶意软件活动使用 Samba 文件共享
2024 年 3 月至 4 月的 Dark Gate 恶意软件活动展示了攻击者如何利用合法工具和服务来分发恶意软件。
Palo Alto Networks Unit 42 研究人员分享了有关 2024 年 3 月至 4 月 DarkGate 恶意软件活动的详细信息。威胁行为者使用 Microsoft Excel 文件从面向公众的 SMB 文件共享下载恶意软件包。
DarkGate研究人员指出,威胁行为者创造性地滥用合法工具和服务来分发他们的恶意软件。
DarkGate RAT 用 Borland Delphi 编写,在网络犯罪生态系统中作为恶意软件即服务 (MaaS) 模型提供。该恶意软件被认为是一种复杂的威胁,并且不断改进。
DarkGate 至少从 2018 年开始活跃,它支持各种功能,包括进程注入、下载和执行文件、信息窃取、shell 命令执行和键盘记录功能。恶意负载还采用了多种规避技术。
出于经济动机的威胁行为者使用该恶意软件攻击北美、欧洲、亚洲和非洲的组织。
在 2023 年 8 月 Qakbot 基础设施中断后,Unit 42 观察到 DarkGate 活动激增。
Qakbot2024 年 3 月,DarkGate 参与者使用 Microsoft Excel 文件发起了一场活动,最初针对北美,但逐渐蔓延到欧洲和亚洲。该活动在 2024 年 4 月 9 日达到顶峰,一天内检测到近 2,000 个样本。
打开 .xlsx 文件后,收件人会看到一个包含“打开”按钮链接对象的模板。
当用户单击“打开”按钮的超链接对象时,它会从指向可公开访问并托管 VBS 文件的 Samba/SMB 共享的 URL 检索并运行内容。
研究人员还发现攻击者从 Samba 共享分发 JavaScript 文件
阅读报告Pierluigi Paganini
Facebook ( –