行业新闻与博客

Group-IB 的安全研究人员揭露了一个名为 Boolka 的威胁行为者的行动，其活动包括部署复杂的恶意软件和参与网络攻击。 

根据该公司周五发布的一份咨询报告，自 2022 年以来，该组织一直利用漏洞通过 SQL 注入攻击，针对多个国家的网站。注入这些网站的恶意脚本旨在通过拦截用户输入来窃取数据。

2024 年 1 月，Group-IB 分析师发现了一个与 Boolka 运营相关的登陆页面，该页面分发了 BMANAGER 模块化木马。这一发现导致揭露了 Boolka 的恶意软件交付平台，该平台利用了 BeEF 框架。 

该平台使用经过修改的 Django 管理页面，凸显了 Boolka 运营背后的技术实力。Boolka 注入的恶意 JavaScript 会捕获受感染网站的用户输入，并将密码和用户名等敏感信息泄露回威胁行为者的服务器。

分析还揭示了 Boolka 更新脚本的动态方法。2023 年末，其有效载荷得到增强，包括新的检查和功能，例如在网页上创建隐藏元素以逃避检测。

对 Boolka 基础设施的进一步调查发现了多个用于发起恶意软件攻击的域名。到 2024 年 3 月，Boolka 的恶意软件交付平台正在积极传播 BMANAGER 木马。该木马以其模块化设计而闻名，使其能够执行一系列恶意活动，包括数据泄露、键盘记录和文件窃取。

BMANAGER 恶意软件套件包括 BMREADER、BMLOG、BMHOOK 和 BMBACKUP 等各种组件。每个模块都有特定的功能，从记录击键到窃取文件，这些功能共同增强了威胁行为者从受感染系统中提取有价值信息的能力。 

据 Group-IB 称，在创建这些模块时使用 PyInstaller 和 Python 3.11 也表明 Boolka 的恶意软件开发能力具有很高的复杂性和定制化水平。

为了防御 BMANAGER 木马和类似威胁，组织应使用最新的安全补丁更新其系统和应用程序，使用高级端点保护和防病毒解决方案，监控网络流量并采用入侵检测系统，并对员工进行有关网络钓鱼和安全浏览实践的教育。