Python後門ViperTunnel被用於勒索軟體DragonForce活動

資安公司InfoGuard在最近一起DragonForce攻擊行動裡，發現不尋常的現象：其中一個工作排程任務竟在無命令列參數的條件下執行，由於在正常的Windows環境，未下達指令碼的路徑或參數相當少見，該公司起初推測攻擊者使用DLL側載手法，不過進一步調查後發現並非如此，攻擊者濫用Python的自動匯入功能，讓惡意程式碼在電腦啟動時自動執行。

駭客使用的惡意程式，是以Python為基礎打造的後門程式ViperTunnel，駭客將其偽裝成系統檔案b5yogiiy3c.dll，不過本質上是以系統程式庫形成建立的Python指令碼，為了避免他人識破，駭客採用3種演算法與壓縮機制進行處理，此後門程式採用SOCKS5隧道建立通訊。根據調查結果，攻擊者的身分是EvilCorp旗下的UNC2165。

InfoGuard也提及駭客還會搭配另一個惡意程式ShadowCoil，此為Python打造的竊資軟體，可針對以Chromium為基礎的瀏覽器竊取使用者憑證，後來也支援對Firefox發動攻擊。

針對這起事故的調查結果，代表使用ViperTunnel的駭客正在轉型，而兩款惡意程式在混淆手法上出現顯著的技術程度差異，代表開發團隊可能不同。值得留意的是，ShadowCoil近期加入了Linux除錯器檢查機制，顯示駭客可能朝向跨平臺發展。再者，這些惡意程式的基礎設施不採用8000部等常見的通訊連接埠，並搭配偽造的標頭來妨礙偵察，使得攻擊來源更加難以解析。