新型恶意软件家族VERMIN在针对乌克兰的网络间谍活动中被发现

“用指尖改变世界”

Palo Alto Networks公司的 Unit 42威胁研究团队在本月发现了一起已经开展了两年时间的网络间谍活动，并将目标瞄准了乌克兰。黑客在活动中主要采用了两种恶意软件：Quasar Rat和VERMIN。

Quasar RAT是一个开源的恶意软件家族，一种远程访问工具。在早前就已经被用于一些攻击活动中，包括网络犯罪和网络间谍活动。

相对Quasar RAT而言，VERMIN则是一个新出现的恶意软件家族。它是使用Microsoft .NET Framework编写的，且大部分都是原始代码，这说明它绝不是任何一个恶意软件家族的分支。

它能够收集受感染系统的击键和剪贴板数据，能够删除、上传和下载文件，能够重命名文件和文件夹以及捕获音频和视频。

VERMIN通过网络钓鱼电子邮件的附件分发，这通常是一个SFX文件(自解压文件)，它包含一个诱饵文档，看起来像是来自乌克兰国防部的一份正式命令。当受害者打开时，便会感染恶意软件。

研究人员还发现，VERMIN还罕见地使用了HTTP封装的简单对象访问协议(SOAP)，这是一种用于交换结构化信息的基于XML的协议，用于命令和控制(C2)，这在恶意软件样本中是不常见的。

在进一步调查后，研究人员很快发现了更多的Vermin样本，揭开了一个更加庞大的命令和控制(C2)基础设施网络。

许多样本甚至没有选择使用诱饵文件。相反，它们只包含有效载荷和一个伪装成文档查看器(如Microsoft Word)的图标。

在初始执行之后，Vermin会检查受害者的系统是否配置了俄语作为安装的输入语言。如果未设置为俄语，Vermin便将执行API调用并解密包含通信和远程控制功能主代码的嵌入资源。这无形中透露出，黑客似乎想要排除那些使用俄语的人，而不会对他们发起攻击。

根据Vermin所使用的实际变量名称，它会收集以下信息：设备名称、用户名、操作系统版本、体系结构(32位和64位)、本地IP地址和是否运行有防病毒软件。如果检测到防病毒软件，Vermin则不会安装键盘记录程序。

Palo Alto Networks表示，他们无法确定黑客的具体目标或者有哪些数据遭到了窃取。但从诱饵文件的主题定位以及受害者的情况来看，Vermin的确表现为被用于向乌克兰发起有针对性的攻击。

本文由黑客视界综合网络整理，图片源自网络;转载请注明“转自黑客视界”，并附上链接。