Proofpoint研究人员发现了一种新的Buer恶意软件加载程序变体,通过伪装成发货通知的电子邮件分发。Buer是一款在地下市场销售的下载器,于2019年首次出现。它被用作受感染网络的立足点,用于分发其他恶意软件,包括勒索软件。Proofpoint网络安全研究人员发现的Buer新变种使用与原始恶意软件完全不同的编码语言编写。这是一种不寻常的变异模式,但有助于新活动在针对Windows系统的攻击中保持不被发现。最初的Buer是用C语言编写的,但新的变体是用Rust编程语言编写的,因此研究人员将新的变体命名为RustyBuer。RustyBuer通常通过网络钓鱼电子邮件传送。在一个相关的活动中,这些电子邮件被精心制作成来自快递公司DHL。它们包含指向恶意MicrosoftWord或Excel文档下载的链接,该文档使用宏来投放新的恶意软件变体。这些电子邮件影响了50多个行业的200多个组织。其他一些发现包括:用Rust重写恶意软件可以让威胁行为者更好地规避现有的Buer检测功能。Proofpoint观察到RustyBuer活动在某些活动中使用CobaltStrikeBeacon作为次要有效载荷。研究人员评估说,一些威胁行为者可能正在使用Buer加载程序建立立足点,然后将访问权出售给其他威胁行为者。这称为“访问即服务”。研究人员表示,重写的恶意软件以及使用新的诱饵试图让自己看起来更合法,表明利用RustyBuer的威胁行为者正在以多种方式改进他们的技术,以逃避检测并试图提高成功点击率。并预计未来会根据观察到的RustyBuer活动频率出现新的变体。详情请查看:https://www.proofpoint.com/us/blog/threat-insight/new-variant-buer-loader-written-rust很难找到本文地址:https://www.oschina。net/news/140125/buer-malware-rust-rewritten
