详细内容或原文请订阅后点击阅览
BellaCPP,Charming Kitten 的 BellaCiao 变体,用 C++ 编写
卡巴斯基研究人员警告称,与伊朗有关联的 APT 组织 Charming Kitten 被发现使用 BellaCiao 恶意软件的新变种 BellaCPP。与伊朗有关联的 APT 组织 Charming Kitten 被发现使用 BellaCiao 恶意软件的 C++ 变种 BellaCPP。BellaCiao 是一种基于 .NET 的恶意软件,将 Webshell 持久性与隐蔽隧道相结合。该恶意代码首先是 […]
来源:Security Affairs _恶意软件BellaCPP,Charming Kitten 的 BellaCiao 变种,用 C++ 编写
BellaCPP,Charming Kitten 的 BellaCiao 变种,用 C++ 编写
Pierluigi Paganini Pierluigi Paganini 2024 年 12 月 25 日卡巴斯基研究人员警告称,与伊朗有关的 APT 组织 Charming Kitten 被发现使用了 BellaCiao 恶意软件的新变种,称为 BellaCPP。
与伊朗有关的 APT 组织 Charming Kitten 被发现使用了 BellaCiao 恶意软件的 C++ 变种,称为 BellaCPP。
迷人小猫 BellaCiaoBellaCiao 是一种基于 .NET 的恶意软件,它将 Webshell 持久性与隐蔽隧道相结合。该恶意代码于 2023 年 4 月首次被 Bitdefender 发现,其 PDB 路径揭示了有价值的见解,包括版本控制方案。
首次发现最近,卡巴斯基在亚洲的一台计算机上发现了一个 BellaCiao 恶意软件样本,以及旧 BellaCiao 版本的相关 C++ 重新实现。
BellaCiao 的 PDB 路径揭示了有关该活动的关键细节,包括目标实体和国家。所有路径都包含“MicrosoftAgentServices”,有时带有版本控制整数(例如“MicrosoftAgentServices2”),开发人员可能使用它来跟踪更新并维护不断发展的恶意软件库以进行 APT 操作。
“BellaCPP 是在感染基于 .NET 的 BellaCiao 恶意软件的同一台机器上发现的。它是一个名为“adhapl.dll”的 DLL 文件,用 C++ 开发,位于 C:\Windows\System32。它有一个名为“ServiceMain”的导出函数。”卡巴斯基发布的报告写道。“名称和控制处理程序注册表明,与原始 BellaCiao 样本类似,此变体旨在作为 Windows 服务运行。”
报告 报告基于 .NET 的 BellaCiao 恶意软件表现出与早期版本类似的行为,包括:
D3D12_1core.dll
@securityaffairs
(
–