inglabs分析了來(lái)自Kwampirs遠程訪(fǎng)問(wèn)木馬(RAT)的攻擊線(xiàn)索，以幫助軟件公司抵御這種惡意軟件。

該安全公司在《解密Kwampirs RAT:從威脅狩獵到威脅情報》中指出，組織必須保護他們的軟件開(kāi)發(fā)環(huán)境，并確保他們的供應商不受損害。首席軟件架構師和托米斯拉夫•Peri?in ReversingLabs創(chuàng )始人之一,寫(xiě)的分析。

這家安全公司利用網(wǎng)絡(luò )配置中留下的“面包屑”來(lái)記錄惡意軟件網(wǎng)絡(luò )基礎設施，這些網(wǎng)絡(luò )基礎設施支持了橙色蠕蟲(chóng)組織實(shí)施的攻擊。賽門(mén)鐵克在2018年首次確定了黑客及其首選武器。同年，賽門(mén)鐵克還報告說(shuō)，在許多醫院系統中發(fā)現了Kwampirs惡意軟件，包括x光機和核磁共振成像機，以及患者用來(lái)填寫(xiě)同意書(shū)的設備。

美國聯(lián)邦調查局(FBI)最近警告稱(chēng)，雇傭Kwampirs的攻擊現在已經(jīng)演變?yōu)獒槍I(yè)控制系統(ICS)領(lǐng)域的公司，尤其是能源領(lǐng)域的公司。

據ZDNet 2月初報道，美國聯(lián)邦調查局在一份私人行業(yè)通知中表示:“據信，軟件供應鏈公司是為了獲取受害者的戰略合作伙伴和/或客戶(hù)，包括支持全球能源生產(chǎn)、傳輸和分配工業(yè)控制系統的實(shí)體。”

聯(lián)邦調查局表示，除了攻擊供應鏈軟件供應商外，同樣的惡意軟件還被用于攻擊醫療保健、能源和金融公司。

inglabs指出，從威脅分析的觀(guān)點(diǎn)來(lái)看，這個(gè)惡意軟件最重要的部分是它的配置，因為它本質(zhì)上是一個(gè)遠程訪(fǎng)問(wèn)木馬。

inglabs從對Kwampirs公開(kāi)可用的YARA規則開(kāi)始，并將該信息與Titanium平臺在過(guò)去90天內收集的所有樣本進(jìn)行匹配。以下是他們的發(fā)現。

reverse inglabs從Kwampirs攻擊中收集數據樣本，編寫(xiě)一個(gè)可靠的惡意軟件配置解析器，從樣本中提取網(wǎng)絡(luò )配置。

由reveringlabs收集的每個(gè)Kwampirs樣本都帶有一組200個(gè)控制服務(wù)器url。惡意操作通常在共享相同控制服務(wù)器基礎結構的活動(dòng)中執行。