美国加州中区检察官办公室最近宣布查封了WorldWiredLabs的网络域名和支持性基础设施。这次行动由几个国家和执法组织协调,阻止了NetWire远程访问木马(RAT)的传播。该恶意软件被伪装成一个合法的管理工具,并被恶意行为者用来未经授权访问目标系统。
世界各地的执法机构经过数年的调查、观察和规划,成功地将该RAT逼入绝境。洛杉矶的联邦当局行使搜查令,查封了worldwiredlabs.com网站域名,该域名被用来销售和传播NetWire恶意软件。除了扣押之外,当局还逮捕了一名克罗地亚国民,他被确认为该网站的管理员。现在被查封的网站表明美国、克罗地亚、瑞士、澳大利亚和其他欧洲刑警组织下属机构之间的协调努力。
联邦调查局的初步调查始于2020年,当时调查人员购买了一份疑似恶意软件的副本,并将其移交给进一步分析。根据搜查令的可能原因摘要,联邦调查局的调查人员能够成功访问该网站,支付订阅计划,并下载NetWire RAT包使用。获得样本后,一名联邦调查局的计算机科学家使用NetWire的构建工具来配置一个实例,以测试该恶意软件对指定测试机器的能力。在任何时候,NetWire都没有试图验证那些分析该软件的人是否真的能够访问目标机器。
配置完成后,联邦调查局的计算机科学家证实,该软件允许NetWire用户访问文件,关闭应用程序,检索认证信息,跟踪按键,执行命令,并拍摄屏幕截图,所有这些都没有提醒目标用户。这些能力、行为和缺乏通知,都是传统RAT攻击的名片,都是为了吸引恶意行为者,意图利用其他毫无戒心的用户。
有一些方法可以帮助组织和用户防止自己成为RAT和其他社会工程驱动的攻击的受害者。INFOSEC早些时候的一篇文章详细介绍了NetWire是如何工作的,并为用户和组织提供了防御这些类型的攻击的提示。这些建议包括:
培训用户意识到潜在的网络钓鱼模式以及如何处理它们
注意来自不熟悉的发件人或来源以及带有可疑附件的电子邮件
在打开或下载内容之前,通过其他方法验证来源
使用反恶意软件、反病毒软件或其他端点保护软件
保持所有软件和操作系统文件的更新。
负责联邦调查局洛杉矶外地办事处的助理主任唐纳德-阿尔维强调了清除NetWire恶意软件的重要性。"通过清除NetWire RAT,联邦调查局影响了犯罪网络生态系统"。阿尔维的声明还强调了这样一个事实:"......借助在克罗地亚被捕嫌犯的的全球伙伴关系也清除了一个用于劫持计算机的流行工具,以使威胁集团和网络犯罪分子的全球欺诈、数据泄露和网络入侵行为无法得以持续。"