详细内容或原文请订阅后点击阅览
新的Advanced Fin7的Anubis后门允许在Windows上获得完整的系统控制
FIN7网络犯罪组已链接到Anubis,Anubis是一个基于Python的后门,可远程访问受损的Windows系统。威胁性演员Fin7(也称为Savage Ladybug)开发了一种新的基于Python的恶意软件,名为Anubis Backdoor,该软件使攻击者能够对受感染的Windows系统获得完全遥控。它执行shell命令和系统[…]
来源:Security Affairs _恶意软件新的Advanced Fin7的Anubis后门允许在Windows上获得完整的系统控制
FIN7网络犯罪组已链接到Anubis,Anubis是一个基于Python的后门,可远程访问受损的Windows系统。
威胁性演员Fin7(也称为Savage Ladybug)开发了一种新的基于Python的恶意软件,名为Anubis Backdoor,该软件使攻击者能够对受感染的Windows系统获得完整的遥控器。它在使用混淆来逃避检测时执行外壳命令和系统操作。通过网络钓鱼交付并在被妥协的SharePoint站点上托管,它仍然没有大多数防病毒解决方案的发现,带来了严重的安全风险。
fin7“恶意软件作为ZIP软件包分布,其中包括一个Python脚本以及多个Python可执行文件。一些变体在将其写入磁盘后立即执行混淆的有效载荷,而另一些变体则加载有效负载并从中调用特定功能。”阅读网络安全公司Prodaft发布的报告。 “执行方法的这种差异证明了恶意软件的适应性以及威胁行为者为在不同操作场景中多样化其交付机制的努力。”
报告fin7是自2015年中以来一直活跃的俄罗斯犯罪集团(又名Carbanak),它重点介绍了美国的餐馆,赌博和酒店业,以收获用于攻击或在网络犯罪市场上出售的财务信息。
fin7是俄罗斯犯罪集团 Carbanak研究人员指出,一个约30行的Python脚本是主要入口点,解密和执行了实际有效载荷。定位窗口的后门使用base64编码的AES-CBC加密,并通过EXEC函数加载有效负载。它的混淆方法,用相似的字符代替变量名称,类似于Pyobfuscate或Anubis obfustcator等工具,使分析变得更加困难,但并不复杂。
exec
subprocess.popen
在Twitter上关注我:@securityaffairs和Facebook和Mastodon
Facebook