自第一种计算机病毒出现以来,恶意软件就一直是黑客和安全研究人员之间的猫捉老鼠游戏。现在,大多数恶意软件至少在类型和传输方式上是已知的。不过,坏人偶尔也会想出一些新花招来隐藏自己的踪迹。
安全分析公司 Mandiant 最近发现了一个"前所未见"的攻击链,该攻击链至少在两个不同的网站上使用 Base 64 编码来传输三阶段恶意软件的第二阶段有效载荷。这两个网站分别是科技网站 Ars Technica 和视频托管网站 Vimeo。
一位用户在 Ars Technica 论坛上发布了一张披萨的图片,并配文"我喜欢披萨"。图片或文字本身没有任何问题。然而,这张照片是由第三方网站托管的,其 URL 包含 Base 64 字符串。Base 64 转换为 ASCII 后看起来像随机字符,但在这种情况下,它混淆了下载和安装恶意软件包第二阶段的二进制指令。在另一个案例中,一个相同的字符串出现在 Vimeo 上一个无害视频的描述中。
Ars Technica 发言人说,在一位匿名用户向该网站举报图片(下图)的奇怪链接后,Ars Technica 删除了这个去年 11 月创建的账户。
Mandiant说,它已确定该代码属于一个名为 UNC4990 的威胁行为者,自 2020 年以来,它一直在跟踪该行为者。对于大多数用户来说,这些指令没有任何作用。它只能在已经包含第一阶段恶意软件(explorer.ps1)的设备上运行。UNC4990 通过受感染的闪存盘传播第一阶段,这些闪存盘被配置为链接到托管在 GitHub 和 GitLab 上的文件。
第二阶段被称为"空空间",是一个在浏览器和文本编辑器中显示为空白的文本文件。然而,用十六进制编辑器打开它,就会看到一个二进制文件,该文件使用空格、制表符和新行等巧妙的编码方案来创建可执行的二进制代码。Mandiant承认以前从未见过这种技术。
Mandiant 的研究员Yash Gupta表示:"这是我们看到的一种不同的、新颖的滥用方式,很难被发现。是我们在恶意软件中通常见不到的。这对我们来说非常有趣,也是我们想要指出的。"
执行后,Emptyspace 会不断轮询命令和控制服务器,并根据命令下载一个名为"Quietboard"的后门。UNC4990 利用该后门在受感染的机器上安装加密货币矿机。不过,Mandiant 表示,它只追踪到一个安装 Quietboard 的实例。
鉴于 Quietboard 的罕见性,UNC4990 的攻击造成的威胁微乎其微。但是,explorer.ps1 和 Emptyspace 的感染率可能会更高,从而使用户易受攻击。Mandiant 在其博客中解释了如何检测感染。