详细内容或原文请订阅后点击阅览
Mistic 内部,勒索软件入侵中的新隐形后门
Mistic 是一个秘密后门,被与 KongTuke 相关的攻击者用来保持对勒索软件目标网络的长期访问。 Mistic 是一种告诉你操作员想要时间而不是噪音的后门。赛门铁克安全研究人员表示,它已出现在针对保险、教育、IT 和专业服务公司的出于经济动机的攻击中,他们将其联系起来 [...]
来源:Security Affairs _恶意软件Mistic 内部,勒索软件入侵中的新隐形后门
Mistic 是一个秘密后门,被与 KongTuke 相关的攻击者用来保持对勒索软件目标网络的长期访问。
Mistic 是一种告诉你操作员想要时间而不是噪音的后门。赛门铁克安全研究人员表示,它出现在针对保险、教育、IT 和专业服务公司的出于经济动机的攻击中,他们将其与 KongTuke(也称为 Woodgnat)联系起来,这是一个至少自 2024 年以来活跃的访问经纪人。该组织有一个明确的商业模式:闯入,打开大门,并将访问权限出售给 Qilin、Interlock、Rhysida、Akira、8Base 和 Black Basta 等勒索软件团队。
感染路径看起来是为了伪装而构建的。在赛门铁克分析的案例中,当合法的 MpExtMs.exe 进程加载名为 version.dll 的恶意 DLL,然后释放 Mistic 加载程序 EndpointDlp.dll 时,攻击就开始了。这个名字看起来很接近微软的安全工具,很有用,这可能就是重点。一个单独的 .NET DLL 还显示了一个伪造的登录屏幕来窃取凭据,因为显然犯罪分子仍然喜欢借用您自己的信任来对付您。
“Mistic 通过合法文件 MpExtMs.exe 进行侧面加载,并从名为 EndpointDlp.dll 的 DLL 加载,该名称与 Microsoft 端点安全工具相关。这将有助于后门与受信任的软件融合。”阅读赛门铁克发布的报告。 “后门在内存中运行有效负载,没有文件写入磁盘,并包含一个可以让它自我删除的终止开关,这些功能与寻求长期、低可见性访问的操作员一致。”
赛门铁克表示,Mistic 自 4 月份以来就已被使用,至少在一个案例中,它是在 ModeloRAT 之后出现的,ModeloRAT 是另一个与 KongTuke 相关的后门,通过 Microsoft Teams 社交工程传播。这种排序并不微妙,但它的作用足够频繁,以至于人们一直这样做。
皮尔路易吉·帕格尼尼
(SecurityAffairs – 黑客攻击、勒索软件)