2021年4月27日,卡巴斯基发布了2021年第一季度APT活动总结,其中提到了一种新的兰伯特家族木马。卡巴斯基表示,2019年2月,几家反病毒公司收到了一系列恶意软件样本,其中大部分与各种已知的APT组织有关。一些样本无法与任何已知的活动联系起来,样本使用的技术非常先进。该样本是在2014年编译的,因此它有可能在2014年底和2015年部署在目标设备上。卡巴斯基表示,它没有在样本中发现与任何其他已知恶意软件相同的代码,但编码模式、风格和技术可以在各种Lambert特洛伊木马家族中看到样本中使用的。卡巴斯基将用颜色命名每个兰伯特特洛伊木马家族。因此,卡巴斯基将该恶意软件命名为紫色兰伯特。PurpleLambert由几个模块组成。其网络模块会被动监控流量,当检测到特定流量(MagicPacket)时会被唤醒,木马会从休眠状态中脱离出来执行其他恶意行为。木马可以为攻击者提供被感染系统的基本信息,执行并接收攻击者发送的恶意Payload,从而进行下一步的攻击动作。卡巴斯基认为,该木马的功能与另一种用户态被动监听器GrayLambert非常相似。事实证明,在几次攻击中,GrayLambert已经取代了在内核模式下被动监听的WhiteLambert木马。最后,PurpleLambert所做的(监听流量)与GrayLambert和WhiteLambert相似,但方式不同。关于GrayLambert,Blackbird通过研究发现木马会以服务的形式启动。经过一系列的坚持不懈的操作,就会正式开始被动监控流量操作。它会先从资源中释放和加载一个网络流量监控。和过滤器模块,并尝试通过驱动程序获取过滤后的流量。Description值主要是从System\\CurrentControlSet\\Services\\Null注册表项中获取的,其中存放的是驱动程序注册的文件名,从而实现与驱动程序的通信。如果没有对应的驱动程序,则使用Windows的ETW机制来过滤网络流量。(ETW(EventtraceforWindows)是微软提供的一种机制,用于跟踪和记录由应用程序和内核驱动的事件。)关于WhiteLambert,木马经过一系列操作后,最终会加载恶意驱动程序,即经过NDIS流量过滤的Rookit。木马会通过NDIS注册自定义协议,过滤网卡中的流量数据,实现特定功能(远程控制命令)。(NDIS网络驱动程序接口规范)。
