最近的网络安全研究绘制了 Jupyter 恶意程序的演变图,Jupyter 是一个采用 .NET 编程语言编写的信息窃取程序,以攻击医疗行业和教育行业而闻名,它能逃脱大多数终端安全软件的扫描。
根据网络安全行业门户极牛网JIKENB.COM的梳理,Jupyter(又名 Solarmarker)于 2020 年 11 月首次出现,可能起源于俄罗斯,主要针对 Chromium、Firefox 和 Chrome 浏览器数据,并具有允许完整后门的附加功能,包括将详细信息上传到远程服务器、下载并执行进一步的攻击载荷等功能。
以色列网络安全公司 Morphisec 收集的样本证据表明,从 2020 年 5 月开始,多个版本的 Jupyter 开始出现。目前该恶意软件不仅继续保持活跃,而且还在如何继续发展其攻击以提高效率和规避性方面进行迭代升级。
网络安全公司 CrowdStrike 将该恶意软件描述为打包了一个多阶段、高度混淆的 PowerShell 加载程序,从而顺利执行 .NET 编译后门。
虽然之前的攻击结合了 Docx2Rtf 和 Expert PDF 等知名软件的合法二进制文件,但最新的传输链使用了另一个名为 Nitro Pro 的 PDF 应用程序。根据网络安全行业门户极牛网JIKENB.COM的梳理,攻击首先部署超过 100MB 的 MSI 安装程序载荷,允许它们绕过反恶意软件引擎,并使用名为 Advanced Installer 的第三方应用程序打包向导进行混淆。
运行 MSI 有效负载会导致执行嵌入在 Nitro Pro 13 合法二进制文件中的 PowerShell 加载程序,观察到其中两个变体使用属于波兰实际企业的有效证书进行签名,这表明可能存在证书假冒或盗窃。加载器在最后阶段解码并运行内存中的 Jupyter .NET 模块。
安全研究人员称,从我们在 2020 年首次发现 Jupyter 信息窃取器/后门开始,它的演变证明了黑客在不断地进行迭代升级,这次攻击的样本在 VirusTotal 上仍然无法检测到,这进一步表明了黑客对于如何逃避安全检查扫描的手段非常高明。
领取专属 10元无门槛券
私享最新 技术干货