2018年,Purple Fox(紫狐)在野感染超过 30000 台计算机后被首次发现。Purple Fox通过漏洞利用和钓鱼邮件进行传播分发,自身还充当其他恶意软件的 Downloader。
3月23日,据外媒报道,安全研究人员发现Purple Fox增加了蠕虫传播模块,通过扫描、攻击联网的 Windows 系统进行感染传播。与此同时,更新的Purple Fox还带有Rootkit和后门功能。Purple Fox针对Windows系统进行漏洞利用套件的开发,在利用内存破坏和权限提升漏洞后,通过Web浏览器感染Windows用户。
Guardicore Labs的安全研究员Amit Serper和Ophir Harpaz表示:从 2020 年 5 月开始,Purple Fox的攻击快速攀升。到目前为止,累计超过了90000 次,感染量增长了600%。
Windows 设备面临极大风险Guardicore 利用全球遥测网络对威胁进行监控,Purple Fox从去年年底开始表现出端口扫描和漏洞利用尝试的行为。扫描发现联网的Windows设备后,Purple Fox利用蠕虫模块试图通过SMB爆破入侵系统。
根据 Guardicore Labs 的分析报告,Purple Fox 已经组建了近 2000 台规模的僵尸网络。
实现主机中包括部署了 IIS 7.5 和 Microsoft FTP 的 Windows Server 服务器以及运行 Microsoft RPC、Microsoft Server SQL Server 2008 R2、Microsoft HTTPAPI httpd 2.0 等服务的服务器,这些服务都存在不同程度的漏洞。
Purple Fox的蠕虫模块会攻击公网暴露的SMB服务来进行入侵,不仅如此,Purple Fox还会利用网络钓鱼和Web浏览器漏洞来进行投递和传播。
研究发现,失陷主机同时会被作为部署恶意Payload的服务器进行恶意软件的传播。
Rootkit模块进行持久化Purple Fox在失陷主机上部署Rootkit模块进行持久化,该Rootkit模块使用了开源项目hidden。
Purple Fox会借此隐藏注册表项与文件。讽刺的是hidden这个项目是安全研究人员开发,为了在执行各种恶意软件分析任务时使某些文件对恶意软件不可见。
重新启动设备后,Purple Fox将恶意 DLL重命名为将在系统启动时要执行的DLL文件。
系统感染后会表现出明显的蠕虫行为,不断地进行SMB扫描。
一旦身份验证成功,Purple Fox将会创建与正则表达式(AC0[0-9]{1})相匹配的服务名,例如 AC01、AC02、AC05。该服务会从HTTP服务器下载MSI安装包启动感染。
详细的IOC指标可在GitHub中查看,包括Purple Fox 的MSI文件投递站点和 C&C 服务器。
IOC(C&C)rpc.1qw.us57.167.200.174120.253.201.23765.222.221.21665.113.192.7977.236.130.107180.68.57.11295.161.197.17460.174.95.143115.230.127.107
参考来源BleepingComputer
Guardicore