中國資安業者奇安信揭露惡意軟體Wpeeper的攻擊行動,此為鎖定安卓作業系統的後門程式,攻擊者可藉此收集受害裝置的系統資訊,並且進行檔案管理、上傳、下載,甚至可執行特定命令。

但這款惡意軟體引起研究人員關注的地方在於,攻擊者在網路基礎設施上的規畫相當特別。首先,對方透過遭到入侵的WordPress網站,建立透過多個層次進行通訊的C2架構,企圖遮掩真正的C2伺服器位置。

再者,他們利用連線階段(Session)的欄位來區分請求,並透過HTTPS加密通訊協定來保護攻擊流量。而對於C2發出的命令,攻擊者也透過AES演算法處理。

研究人員起初是發現1個Linux執行檔(ELF),攻擊者透過2個網域散布,但僅有其中1個有資安業者標為惡意網域,另一個則為近期註冊而被視為無害;再者,惡意程式分析平臺VirusTotal上所有的防毒引擎,皆將此ELF檔案視為無害。雖然從副檔名的部分,看起來是針對Linux電腦而來,但研究人員進一步分析,確認這是安卓惡意程式。

此惡意程式的來源,攻擊者疑似透過Uptodown App Store第三方市集下載應用程式的APK檔案,然後進行變造並嵌入一小段程式碼,一旦使用者執行安裝,就會下載惡意的ELF檔案並執行。

值得留意的是,雖然這起攻擊行動維持不到一週,但當中使用的惡意程式都並未被資安公司判定為有害,照理來說,攻擊者沒有必要突然停止行動,因此研究人員推測,對方很可能在策畫更大規模的攻擊行動,目的是用於欺騙防毒軟體所使用的AI機器學習模型,讓他們的惡意程式更難被發現。

熱門新聞

Advertisement