CactusPete APT 團隊最新 Bisonal 的后門

新廣告系列的惡意軟件分發方法仍然未知，但是以前的廣告系列表明這是他們分發惡意軟件的常用方法。攻擊者傳遞惡意軟件的首選方式是帶有“magic”附件的魚叉式網絡釣魚郵件。附件不包含零日攻擊，但確實包含最近發現和修補的漏洞，或任何其他可能有助于其交付payload的狡猾方法。運行這些附件會導致感染。

一旦惡意軟件啟動，它就會嘗試到達硬編碼的C2。使用未經修改的基于HTTP的協議進行通信，對請求和響應主體進行RC4加密，并且加密密鑰也被硬編碼到樣本中。由于RC4加密的結果可能包含二進制數據，因此惡意軟件還會在BASE64中對其進行編碼，以匹配HTTP規范。

握手包括幾個步驟：初始請求，受害者網絡詳細信息和更詳細的受害者信息請求。這是在握手步驟中發送給C2的特定于受害者的信息的完整列表：

• 主機名，IP和MAC地址；
• Windows版本；
• 在受感染主機上設置的時間；
• 指示惡意軟件是否在VMware環境中執行的標志；
• 代理使用標志；
• 系統默認的CodePage標識符；

握手完成后，后門將等待命令，并定期ping C2服務器。來自C2 ping的響應正文可能包含命令和參數（可選）。更新的Bisonal后門版本保留了與以前使用相同代碼庫構建的后門類似的功能：

• 執行一個遠程shell；
• 靜默地在受害主機上啟動程序；
• 從受害主機獲取進程列表；
• 終止任何過程；
• 向/從受害者主機上傳/下載/刪除文件；
• 從受害主機檢索可用驅動器的列表；
• 從受害主機檢索指定文件夾的文件列表；、

這就是代碼中的樣子：

** C2命令處理子例程的屏幕截圖**
這些遠程命令可幫助攻擊者研究受害者的環境，以進行橫向移動并更深入地進入目標組織。并繼續推動各種自定義的Mimikatz變體和鍵盤記錄器，用于憑據收集目的，以及特權升級惡意軟件。