Water Curupira 正在使用 PikaBot 恶意软件部署勒索软件

阅读量49013

发布时间 : 2024-01-11 10:50:45

趋势科技已检测到 Water Curupira 组织正在积极传播 PikaBot 恶意软件。运营于 2023 年第一季度开始,一直持续到 6 月底,然后于 9 月恢复。

用于网络钓鱼活动的 PikaBot 由两个组件组成:下载器和主模块。这种结构允许通过连接到管理服务器进行未经授权的远程访问和任意命令执行,且检测风险较小。

Water Curupira 组织的活动与之前由 TA571 和 TA577 组织使用类似策略传播QakBot 的活动重叠。PikaBot 活动的增加与 8 月份 QakBot 的清算以及 DarkGate 恶意软件的出现有关。

PikaBot 主要用作下载程序,它会启动其他恶意软件,包括后利用工具Cobalt Strike,该工具通常在实际勒索软件部署之前使用。

PikaBot 的分发策略非常简单和熟悉:黑客将恶意附件集成到电子邮件中,下载和启动它们会导致计算机感染恶意软件。

值得注意的是,在启动感染链之前,引导加载程序会检查Windows操作系统的语言,如果检测到俄语或乌克兰语,则会中断执行。这表明了对 Water Curupira 群体可能起源的一些思考。

如果计算机可能受到攻击,PikaBot 会收集有关受害者系统的详细信息,并将其以 JSON 格式发送到控制服务器。Water Curupira 恶意活动的目标是部署 Cobalt Strike,这通常会导致随后启动 Black Basta 勒索软件。

此外,趋势科技指出,Water Curupira 在 2023 年第三季度初使用 DarkGate 开展了多项活动,并开展了少量IcedID活动,此后该组织完全转向使用 PikaBot。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66