行業新聞與博客

Group-IB 的安全研究人員揭露了一個名為 Boolka 的威脅行為者的行動，其活動包括部署複雜的惡意軟件和參與網絡攻擊。 

根據該公司週五發佈的一份諮詢報告，自 2022 年以來，該組織一直利用漏洞通過 SQL 注入攻擊，針對多個國家的網站。注入這些網站的惡意腳本旨在通過攔截用户輸入來竊取數據。

2024 年 1 月，Group-IB 分析師發現了一個與 Boolka 運營相關的登陸頁面，該頁面分發了 BMANAGER 模塊化木馬。這一發現導致揭露了 Boolka 的惡意軟件交付平台，該平台利用了 BeEF 框架。 

該平台使用經過修改的 Django 管理頁面，凸顯了 Boolka 運營背後的技術實力。Boolka 注入的惡意 JavaScript 會捕獲受感染網站的用户輸入，並將密碼和用户名等敏感信息泄露回威脅行為者的服務器。

分析還揭示了 Boolka 更新腳本的動態方法。2023 年末，其有效載荷得到增強，包括新的檢查和功能，例如在網頁上創建隱藏元素以逃避檢測。

對 Boolka 基礎設施的進一步調查發現了多個用於發起惡意軟件攻擊的域名。到 2024 年 3 月，Boolka 的惡意軟件交付平台正在積極傳播 BMANAGER 木馬。該木馬以其模塊化設計而聞名，使其能夠執行一系列惡意活動，包括數據泄露、鍵盤記錄和文件竊取。

BMANAGER 惡意軟件套件包括 BMREADER、BMLOG、BMHOOK 和 BMBACKUP 等各種組件。每個模塊都有特定的功能，從記錄擊鍵到竊取文件，這些功能共同增強了威脅行為者從受感染系統中提取有價值信息的能力。 

據 Group-IB 稱，在創建這些模塊時使用 PyInstaller 和 Python 3.11 也表明 Boolka 的惡意軟件開發能力具有很高的複雜性和定製化水平。

為了防禦 BMANAGER 木馬和類似威脅，組織應使用最新的安全補丁更新其系統和應用程序，使用高級端點保護和防病毒解決方案，監控網絡流量並採用入侵檢測系統，並對員工進行有關網絡釣魚和安全瀏覽實踐的教育。