研究人员分享对RIG漏洞利用工具包传播恶意软件新见解

新发现显示,RIG漏洞利用工具包 (EK)在2022年达到了近30%的历史最高成功利用率。
“RIG EK是一项以金融领域为目标的黑客组织,自2014年以来一直活跃,”瑞士网络安全公司PRODAFT在与黑客新闻分享的详尽报告中表示。
“虽然它在最近的活动中尚未实质性地改变其漏洞,但他们分发的恶意软件的类型和版本不断变化。更新样本的频率从每周更新到每天更新不等。”
漏洞利用工具包是用于利用网络浏览器等常用软件中的已知安全漏洞向大量受害者分发恶意软件的程序。
RIG EK作为服务模型运行的事实意味着攻击者可以在受害机器上安装他们选择的恶意软件。RIG EK运营商主要利用恶意广告来确保高感染率和大规模覆盖。
这样导致的结果使用易受攻击的浏览器版本访问攻击者控制的网页或受损但合法的网站的访问者会使用恶意JavaScript代码重定向到代理服务器,而代理服务器又与漏洞利用服务器通信以提供适当的浏览器漏洞。
就漏洞利用服务器而言,它通过解析用户代理字符串来检测用户的浏览器,并返回“与预定义的易受攻击的浏览器版本匹配”的漏洞利用程序。
研究人员说:“漏洞利用工具包的巧妙设计使其能够在终端用户几乎没有交互的情况下感染设备。” “与此同时,它使用代理服务器使感染更难被发现。”
自2014年出现以来,观察到RIG EK提供范围广泛的金融木马、窃取程序和勒索软件,例如AZORult、CryptoBit、Dridex、Raccoon Stealer 和 WastedLoader。在拆除其基础设施的协调行动之后,该行动在 2017 年受到了巨大打击。

最近的RIG EK活动针对影响Internet Explorer 的内存损坏漏洞(CVE-2021-26411,CVSS 分数:8.8)部署RedLine Stealer。
该恶意软件利用的其他浏览器漏洞包括CVE-2013-2551、CVE-2014-6332、CVE-2015-0313、CVE-2015-2419、CVE-2016-0189、CVE-2018-8174、CVE-2019-0752、和CVE-2020-0674。
根据 PRODAFT 收集的数据,2022 年 45% 的成功感染利用了 CVE-2021-26411,其次是 CVE-2016-0189 (29%)、CVE-2019-0752 (10%)、CVE-2018-8174 ( 9%)和 CVE-2020-0674 (6%)。
除了Dridex、Raccoon和RedLine Stealer之外,使用 RIG EK 分发的一些著名恶意软件系列还有SmokeLoader、PureCrypter、IcedID、ZLoader、TrueBot、Ursnif和Royal ransomware。
此外,据说该漏洞利用工具包吸引了来自 207 个国家/地区的流量,仅在过去两个月就报告了22%的成功率。大多数IOC位于俄罗斯、埃及、墨西哥、巴西、沙特阿拉伯、土耳其和欧洲的几个国家。

“有趣的是,攻击尝试率在周二、周三和周四最高——成功感染发生在一周中的同一天,”研究人员解释说。
PRODAFT也设法查看了该恶意攻击包的控制面板,它表示大约有六个不同的用户,其中两个(admin 和 vipr)拥有管理员权限。别名为“pit”或“pitty”的用户配置文件具有子管理员权限,其他三个(lyr、ump 和 test1)具有用户权限。
“admin”也是一个虚拟用户,主要用于创建其他用户。与订阅一起使用的管理面板由“pitty”用户控制。
然而,暴露git服务器的操作安全失误导致 PRODAFT对两个威胁行为者进行去匿名化处理:一名 31 岁的乌兹别克斯坦国民 Oleg Lukyanov和一名俄罗斯男子Vladimir Nikonov。
它还高度自信地评估了Dridex恶意软件的开发人员与RIG EK的管理员有“密切关系”,因为两款恶意软件都采取了额外的手动配置步骤来“确保恶意软件顺利分发”。
研究人员表示:“总的来说,RIG EK开展了一项卓有成效的漏洞利用服务业务,受害者遍布全球,是一个高效的漏洞利用武器库和不断更新恶意软件的众多客户。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4485.html