204期报告汇总
安天发布《Magecart 第五小组开始使用 KPOT 开展窃密活动》报告
2019 年 8 月,安天 CERT 监测到了多 起利用 KPOT 木马进行窃密的事件。分 析人员通过对其 C2 以及脚本进行关联, 判定这些窃密事件是由 Magecart 第五小 组发起的。Magecart 是一个获取经济利益 为主要目的的窃取支付信息的组织集合。 Magecart 第五小组最早出现于 2016 年,利 用 KPOT 窃取用户加密货币钱包信息、应 用账户信息以及浏览器 cookies 等多种信 息。攻击者主要利用了垃圾邮件以及 RIG 和 Fallout 漏洞利用工具包来传播木马。
KPOT 运行后会从 C2 服务器获取控 制指令,根据控制指令窃取指定信息,并 将信息加密后回传到 C2 服务器。KPOT会获取系统语言版本判断当前语言所对应 的国家,避开以下国家进行窃密:俄罗 斯、亚美尼亚、阿塞拜疆、白俄罗斯、格 鲁吉亚、哈萨克斯坦、塔吉克、土库曼和 乌兹别克。该木马主要功能包括:窃取 Chrome、Firefox、Internet Explorer 浏览器 的 cookies 和口令;窃取 shype、telegram、 discord、battle.net、Steam 账户信息;窃取 多种 FTP 和 Jabber 客户端账号信息;窃取 多种 windows 凭证信息;窃取多种加密货 币文件;获取屏幕截图。
安天 CERT 提醒广大政企客户,应提 高网络安全意识,在日常工作中及时进行 系统更新和漏洞修复,不随意下载非正版的应用软件,注册机等。收发邮件时应确 认收发来源是否可靠,不随意点击或者复 制邮件中的网址,不轻易下载来源不明的 附件,发现网络异常要提高警惕并及时采 取应对措施,养成及时更新操作系统和软 件应用的良好习惯。确保所有的计算机在 使用远程桌面服务时避免使用弱口令,如 果业务上无需使用远程桌面服务,建议将 其关闭。
目前,安天追影产品已经实现了对该 类窃密木马的鉴定;安天智甲已经实现了 对该窃密木马的查杀。