freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

透视 DarkGate 恶意家族的攻击动向
2024-03-03 21:17:11

DarkGate 最初于 2017 年左右出现,后来渐渐演变成为复杂的恶意软件工具包。从最初简单的功能,DarkGate 已经发展成为一种多功能武器,能够执行远程代码、拥有检测规避机制并可以窃取敏感数据。

执法机构摧毁 QakBot 后,DarkGate 已经成为更显著的威胁,在全球范围内迅速取代了 QakBot。2024 年 1 月,攻击者利用 Microsoft Teams 群聊邀请传播恶意软件,从而在失陷主机上安装 DarkGate。

DarkGate 浮出水面

DarkGate 从 2017 年开始开发,尽管最初默默无闻,但知名度上升的却很快。DarkGate 往往潜伏在阴影中,通过各种渠道慢慢进行扩张。随着能力的提高和策略的复杂化,DarkGate 也不再低调潜伏,公开宣布自己是网络犯罪中强大的力量。

1709471549_65e4773ddbec3e3080358.png!small?1709471549498

俄语犯罪论坛出售 DarkGate

DarkGate 由攻击者 RastaFarEye 开发,通过订阅模式提供,每月价格高达 1.5 万美元。尽管 DarkGate 在 2018 年才开始流行,并在 2021 年以 MehCrypter 的名号而闻名。随着包含 AutoIT 脚本和远程访问工具等先进技术的版本问世,DarkGate 的受欢迎程度也在与日俱增。

1709471569_65e47751d068823091b07.png!small?1709471569338

攻击者的宣传

2023 年 6 月,RastaFarEye 发布了 DarkGate v4 版本。该版本拥有 hVNC、文件管理器、Discord 支持、浏览器窃密、按键记录和 Rootkit 等新功能。RastaFarEye 对外承诺该版本可以规避安全检测,并且提供了控制面板方便买家使用。安全公司在 2023 年 8 月发现了 DarkGate 开始启用新版本后,RastaFarEye 也更新升级了检测逃避能力。

1709471586_65e4776247b5a8d5ddaed.png!small?1709471585697

DarkGate 主要特点

RastaFarEye 于 2023 年 9 月宣布开始研发 DarkGate 版本 5,计划于 10 月发布。与此同时,自从 2023 年 5 月以来,DarkGate 被发现的入侵攻击越来越多。DarkGate 支持远程访问、自我管理、加密货币挖掘、按键记录、浏览器数据窃取和权限提升等功能。最初,DarkGate 只是互联网上众多的恶意软件之一。但其开发者不断进取,使得 DarkGate 不断融入新技术、开发新功能,保持业界领先地位。

可能要更新

重大转折是 DarkGate 的开发者,最近被 Exploit 和 XSS 等地下犯罪论坛封禁,可能在寻找新的途径。

1709471610_65e4777a87c97bf1f469a.png!small?1709471610072

封禁账户

被封禁前,RastaFarEye 最后的活动是推广正在开发中的加密货币挖掘程序。

1709471627_65e4778b6b773d18ed992.png!small?1709471626852

广告

DarkGate 攻击概述

DarkGate 是一个复杂的恶意软件工具包,可以通过各种传播媒介入侵,包括钓鱼邮件、恶意广告和 Teams 等协作工具中的恶意附件。在钓鱼邮件中,DarkGate 往往使用伪装成合法文档的恶意 VBScript 或者 MSI 文件来启动感染链。

一旦感染链启动,DarkGate 就会进行一系列操作来入侵失陷主机。通常是使用 DLL 侧加载或者混淆后的 PowerShell 命令,从远程服务器下载执行其他 Payload。DarkGate 使用复杂的规避技术来逃避检测,如混淆 AutoIT 脚本和加密 Shellcode 中的恶意代码。

1709471641_65e47799a3cf98ee4e6bc.png!small?1709471641166

感染链

DarkGate 使用 HTTP POST 请求与 C&C 服务器进行通信,数据经过自定义 base64 编码进行混淆。恶意软件支持多种功能,如按键记录、凭据窃取、远程代码执行、权限提升等。与此同时,DarkGate 也会启用各种持久化机制,例如创建注册表或者将代码注入其他合法进程。DarkGate 的威胁很大,影响个人和组织的数据机密性、运营完整性、财务稳定性和监管合规性。

近期的 Microsoft Teams 攻击

研究人员在 2024 年 1 月末发现,DarkGate 利用 Microsoft Teams 群聊作为传播媒介进行网络钓鱼。伪装成合法文件的恶意附件通过一千余个被入侵的 Teams 群聊邀请发送给受害者,一旦用户接受聊天请求并下载名为 Navigating Future Changes October 2023.pdf.msi的附件,DarkGate 就入侵成功了。随后,DarkGate 会连接 C&C 服务器(hgfdytrywq[.]com),该服务器已经被确认为 DarkGate 的攻击基础设施。

1709471660_65e477ac959ea11fe49dd.png!small?1709471660072

网络钓鱼消息

此攻击利用了 Microsoft Teams 的默认设置,Microsoft Teams 允许外部用户向其他用户发送消息。DarkGate 恶意软件此前也利用失陷的 Office 365 和 Skype 帐户进行传播。随着 2023 年 8 月,Qakbot 僵尸网络被摧毁,DarkGate 的攻击激增。许多网络犯罪分子,开始转向使用 DarkGate 作为首选。DarkGate 的运营团队尝试订阅制销售,也进一步推动了使用者的激增。

DarkGate 广泛影响

DarkGate 对敏感信息安全性构成了重大威胁,该软件的成功入侵可能会导致严重的隐私泄露和重大经济损失。DarkGate 还支持远程代码执行和挖矿,这可能会扰乱正常的业务运营,导致性能下降和运营中断。DarkGate 很可能会对组织的声誉造成损害,并引发监管风险。

不断变化的威胁形势凸显了强大的网络安全措施的重要性,全面的安全框架、威胁情报能力和员工培训计划都很有必要。了解 DarkGate 的影响并实施主动的网络安全措施对于降低风险和保护资产免受威胁侵害至关重要。

参考来源

Socradar

# 后门 # 挖矿木马 # 窃密木马 # Qakbot
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录