行业新闻与博客

研究人员发现，已将 Valak 恶意软件加载器进行了重新设计，使其成为一种更隐蔽，更复杂的恶意软件，可用于侦察和信息窃取。

根据今天（5月28日）发布的一篇技术博客文章，赛博网的 Nocturnus 团队目睹了在持续不到六个月的调查中，在野外观察到的 30 多种新变种的“一系列显着变化” 。

现在，随着 Valak 的开发人员显然与其他威胁行为者合作，Cyber​​eason 的高级总监兼威胁研究负责人 Assaf Dahan 告诉 The Daily Swig，其创建者可能已采用了恶意软件即服务 [MaaS] 模型。

瓦拉克变种重新组装

虽然 Valak 以前被归类为恶意软件加载器，但人们发现它的最新版本会从 Microsoft Exchange 邮件系统中窃取敏感信息，包括凭据和域证书。

研究人员说，这可能使攻击者能够访问关键的企业帐户，这可能会导致目标组织的声誉严重受损。

Valak 至少具有六个插件组件，攻击者可以利用这些插件从受感染的主机中窃取用户，计算机和网络信息。它还可以下载其他插件和其他恶意软件。

新型 Valak 还具有无文件阶段，该阶段将组件存储在注册表中，获取屏幕快照，并检查受感染机器的地理位置。

阅读更多 专家警告无文件恶意软件攻击上升

赛瓦森说，Valak 的开发人员采用了先进的规避技术，例如 ADS 并在注册表中隐藏了组件，同时放弃了 PowerShell 的使用，PowerShell 现在很容易被最新的安全产品检测和排斥。

撰写了对新变体（Eli Salem 和 Lior Rochberger）的分析的研究人员说，对 Valak 而言，“最有趣的添加”是“ PluginHost”组件，该组件“与 C2 服务器进行通信并下载其他插件”。

Salem 和 Rochberger 说，其中两个附加组件-“ Systeminfo”和“ Exchgrabber”似乎专门针对企业。

“复杂的多阶段模块化恶意软件”

Valak 于 2019年底首次发现，最初是针对美国的组织发起的，通常与 Ursnif（AKA Gozi）和 IcedID 银行木马搭配使用。

研究人员说：“ Valak 已从加载程序演变为复杂的，多阶段的模块化恶意软件，该恶意软件从其 C2 服务器收集插件以扩展其功能，”他指出，新的变体正针对德国和美国的企业。 。

每个版本都扩展了该恶意软件的功能，并添加了规避技术以提高其隐身性。

阅读更多最新的恶意软件新闻

他们补充说：“扩展的恶意软件功能表明，Valak 可以与其他恶意软件一起使用，也可以不与其他恶意软件一起使用。”

Dahan 表示：“将目标锁定在交换服务器上并执行广泛的网络侦察应该是组织的一个大问题，因为这可能导致更具破坏性的攻击（例如与勒索软件的协作）或敏感信息的泄漏。”

给用户的建议

由于 Valak 攻击通常始于网络钓鱼电子邮件，因此 Dahan 表示“建议部署良好的电子邮件过滤解决方案，同时投资于电子邮件安全培训和教育”。

他补充说：“此外，可以检测恶意行为的良好端点安全解决方案可以极大地帮助组织预防和补救此类攻击。”

本文由机器译制