行業新聞與部落格

Group-IB 的安全研究人員揭露了一個名為 Boolka 的威脅行為者的行動，其活動包括部署複雜的惡意軟體和參與網路攻擊。 

根據該公司週五釋出的一份諮詢報告，自 2022 年以來，該組織一直利用漏洞透過 SQL 注入攻擊，針對多個國家的網站。注入這些網站的惡意指令碼旨在透過攔截使用者輸入來竊取資料。

2024 年 1 月，Group-IB 分析師發現了一個與 Boolka 運營相關的登陸頁面，該頁面分發了 BMANAGER 模組化木馬。這一發現導致揭露了 Boolka 的惡意軟體交付平臺，該平臺利用了 BeEF 框架。 

該平臺使用經過修改的 Django 管理頁面，凸顯了 Boolka 運營背後的技術實力。Boolka 注入的惡意 JavaScript 會捕獲受感染網站的使用者輸入，並將密碼和使用者名稱等敏感資訊洩露回威脅行為者的伺服器。

分析還揭示了 Boolka 更新指令碼的動態方法。2023 年末，其有效載荷得到增強，包括新的檢查和功能，例如在網頁上建立隱藏元素以逃避檢測。

對 Boolka 基礎設施的進一步調查發現了多個用於發起惡意軟體攻擊的網域名稱。到 2024 年 3 月，Boolka 的惡意軟體交付平臺正在積極傳播 BMANAGER 木馬。該木馬以其模組化設計而聞名，使其能夠執行一系列惡意活動，包括資料洩露、鍵盤記錄和檔案竊取。

BMANAGER 惡意軟體套件包括 BMREADER、BMLOG、BMHOOK 和 BMBACKUP 等各種元件。每個模組都有特定的功能，從記錄擊鍵到竊取檔案，這些功能共同增強了威脅行為者從受感染系統中提取有價值資訊的能力。 

據 Group-IB 稱，在建立這些模組時使用 PyInstaller 和 Python 3.11 也表明 Boolka 的惡意軟體開發能力具有很高的複雜性和定製化水平。

為了防禦 BMANAGER 木馬和類似威脅，組織應使用最新的安全補丁更新其系統和應用程式，使用高階端點保護和防病毒解決方案，監控網路流量並採用入侵檢測系統，並對員工進行有關網路釣魚和安全瀏覽實踐的教育。