112天前
|
|
|
111
网络安全厂商 Elastic Security 最近观察到一个新的攻击入侵活动,目标直指讲中文的地区,跟踪命名为 REF3864。
- 研究人员发现的这次正在进行的攻击活动,目标是讲中文语言的使用者,恶意安装程序伪装成 Telegram 和 Opera 网络浏览器等合法软件。
- 攻击感染链采用注入和 DLL 侧加载技术,使用自定义加载器(SADBRIDGE)。
- 攻击者通过 SADBRIDGE 部署了一种新发现的、用 Golang 编写的 QUASAR 后门变种(GOSAR)。
- GOSAR 是一个正在积极开发中的多功能后门程序,其功能还不完整,但是随着时间的推移观察到了功能改进的迭代版本。
另外,攻击者特别关注列举国内的反病毒检测产品,如 360tray.exe,以及中文的防火墙规则名称和描述,这表明攻击目标是中文用户群体。
## GOSAR 恶意软件介绍
GOSAR 是一个针对 Windows 和 Linux 系统的多功能远程访问木马。这个后门包括获取系统信息、截取屏幕、执行命令、键盘记录等功能。GOSAR 后门保留了 QUASAR 的核心功能和行为,同时结合了一些修改,使其与原始版本有所不同。通过使用 Go 这样的现代语言重写恶意软件,可以降低检测率,因为许多防病毒解决方案和恶意软件分类器难以在这些新的编程结构下识别恶意字符串/特征。值得注意的是,这个变种支持多个平台,包括 Linux 系统的 ELF 二进制文件和 Windows 的传统 PE 文件。这种跨平台能力与 Go 的适应性一致,使其比原始的基于 .NET 的 QUASAR 实现更加的多功能。
