网络安全研究人员披露了一个名为YiBackdoor的新型恶意软件家族的细节,该家族被发现与IcedID和Latrodectus在源代码上存在“显著”重叠。
“与YiBackdoor的确切关联尚不清楚,但它可能在攻击过程中与Latrodectus和IcedID联合使用,”Zscaler ThreatLabz在周二的一份报告中表示。“YiBackdoor能够执行任意命令、收集系统信息、捕获屏幕截图,并部署可动态扩展该恶意软件功能的插件。”
这家网络安全公司表示,其于2025年6月首次发现了这种恶意软件,并补充称,该恶意软件可能是后续攻击的先导,例如为勒索软件攻击提供初始访问权限。截至目前,仅检测到YiBackdoor的有限部署,这表明它目前要么仍在开发中,要么正在测试阶段。
鉴于YiBackdoor、IcedID和Latrodectus之间的相似性,据评估,有中到高的可信度认为这种新恶意软件是开发另外两种加载器的同一批开发者的作品。值得注意的是,Latrodectus本身被认为是IcedID的继任者。
YiBackdoor具备基本的反分析技术,可规避虚拟化和沙盒环境,同时拥有将核心功能注入“svchost.exe”进程的能力。通过使用Windows的Run注册表项,可实现其在主机上的持久化。
该公司表示:“YiBackdoor首先将自身(恶意软件DLL)复制到新创建的目录中,并使用随机名称。接下来,YiBackdoor会在注册表值名称(通过伪随机算法生成)中添加regsvr32.exe malicious_path,然后自行删除以阻碍取证分析。”
恶意软件中嵌入的加密配置用于提取命令与控制(C2)服务器,之后它会建立连接以接收HTTP响应中的命令——
- 系统信息,用于收集系统元数据
- 屏幕,截取屏幕截图
- CMD,使用cmd.exe执行系统shell命令
- PWS,使用PowerShell执行系统shell命令
- 插件,用于向现有插件传递命令并将结果传回服务器
- 任务,用于初始化和执行一个经过Base64编码及加密的新插件
Zscaler对YiBackdoor的分析发现,YiBackdoor、IcedID和Latrodectus之间存在多处代码重叠,包括代码注入方法、配置解密密钥的格式和长度,以及配置块和插件的解密程序。
“默认情况下,YiBackdoor的功能相对有限,不过,威胁行为者可以部署额外的插件来扩展该恶意软件的功能,”Zscaler表示。“鉴于其迄今为止的部署范围有限,威胁行为者很可能仍在开发或测试YiBackdoor。”
发现ZLoader的新版本
这一进展发生在这家网络安全公司对ZLoader(又名DELoader、Terdot或Silent Night)的两个新版本——2.11.6.0和2.13.7.0——进行研究之际,这两个版本在代码混淆、网络通信、反分析技术和规避能力方面都有了进一步的改进。
这些变化中值得注意的是基于LDAP的网络发现命令,它们可用于网络发现和横向移动,以及一种增强的基于DNS的网络协议,该协议采用自定义加密,并可选择使用WebSocket。
据称,分发这款恶意软件加载器的攻击更为精准且具有针对性,仅针对少数实体发动,而非采取无差别攻击方式。
“ZLoader 2.13.7.0版本对用于命令与控制(C2)通信的自定义DNS隧道协议进行了改进和更新,同时增加了对WebSocket的支持,”卓豪(Zscaler)表示,“ZLoader持续改进其反分析策略,利用创新方法规避检测。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
