Proofpoint 研究人員在發(fā)現(xiàn)了通過偽裝成發(fā)貨通知的電子郵件分發(fā)的 Buer 惡意軟件加載程序的一個新變種。Buer 是一個在地下市場上出售的下載程序，首次出現(xiàn)于 2019 年。它被用作受感染網(wǎng)絡(luò)中的立足點(diǎn)，以分發(fā)包括勒索軟件在內(nèi)的其他惡意軟件。

Proofpoint 網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)的 Buer 新變體，采用了一種與原始惡意軟件完全不同的編碼語言編寫。這是一種很不尋常的變化方式，但卻有助于新的活動在針對 Windows 系統(tǒng)的攻擊中保持不被發(fā)現(xiàn)。起初的 Buer 是采用 C 語言編寫的，而新的變種則是用 Rust 編程語言編寫，因此研究人員將新的變種命名為 RustyBuer。

RustyBuer 通常通過釣魚郵件傳遞。在相關(guān)的活動中，這些電子郵件被設(shè)計(jì)成來自快遞公司 DHL。它們包含一個鏈接到惡意的 Microsoft Word 或 Excel 文檔下載，使用 macros 來投放新的惡意軟件變體。這些電子郵件影響了 50 多個行業(yè)的 200 多家組織。

還有一些發(fā)現(xiàn)包括：

• 用 Rust 重寫惡意軟件可以使威脅參與者更好地逃避現(xiàn)有的 Buer 檢測功能。
• Proofpoint 觀察到 RustyBuer 活動在一些活動中把 Cobalt Strike Beacon 作為第二級的有效載荷。

研究人員評估稱，一些威脅行為者可能正在利用 Buer loader 建立一個立足點(diǎn)，然后向其他威脅行為者出售訪問權(quán)。這就是所謂的"access-as-a-service"。

研究人員稱，重寫的惡意軟件以及試圖表現(xiàn)出更多合法性的新型誘餌的使用，表明利用 RustyBuer 的威脅者正在以多種方式發(fā)展技術(shù)，以逃避檢測并試圖提高成功點(diǎn)擊率。并預(yù)計(jì)，根據(jù)觀察到的 RustyBuer 活動頻率，將來還會出現(xiàn)新的變體。

詳情可查看：https://www.proofpoint.com/us/blog/threat-insight/new-variant-buer-loader-written-rust

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：惡意軟件用 Rust 進(jìn)行重寫后變得更難被發(fā)現(xiàn)

本文地址：https://www.oschina.net/news/140125/buer-malware-rust-rewritten