AZORult 恶意软件

AZORult 恶意软件（又名 PuffStealer 和 Ruzalto）是一种信息和加密货币窃取程序，首次发现于 2016 年。虽然 AZORult 并不像其他窃取程序或木马恶意软件那样复杂，但它具有第一和第二阶段的能力，可通过远程访问获得初始访问权限并执行勒索软件攻击等后剥削活动。它最初用 Delphi 编程语言编写，2019 年被移植到 C++，被认为易于使用，允许新手威胁行为者配置和部署攻击。

AZORult 的部分功能针对游戏玩家和加密货币所有者等消费者用户，窃取流行游戏应用程序的凭证，并扫描受损系统以获取加密货币钱包凭证。AZORult 利用商业软件木马引诱受害者；恶意广告表明，AZORult 的目标是个人而不是组织。2020 年的 Azorult 活动利用 COVID-19 大流行更新来锁定和感染受害者。 

AZORult 主要在俄罗斯地下黑客论坛上出售，大多数 AZORult 攻击都与俄罗斯 IP 地址有关，用 AZORult 窃取的数据通常在俄罗斯暗网市场上出售。

AZORult 具有第一和第二阶段的能力，可以在受害者的计算机上获取初始访问权限或执行远程命令。虽然已经观察到 AZORult 使用远程桌面协议（RDP）验证暴力逼迫等方法，但其最常见的初始访问策略是：

• 引导用户访问恶意网站或打开带有恶意 VBA 宏的 Microsoft Office 附件的网络钓鱼和恶意垃圾邮件活动 
• 提供盗版应用程序或含有木马安装程序的媒体供下载
• 接管被黑客攻击的网站，向访问者提供恶意内容或将用户重定向到其他攻击者控制的网站
• 合法网站上引导用户访问恶意网站或诱使用户下载和安装木马应用程序的恶意广告
• 通过洪流网站或暗网论坛提供的流行软件应用程序的虚假安装程序

在 AZORult 获得初始访问权限并执行主要有效载荷后，它会猎取并窃取敏感的用户数据。接下来，它连接到一个命令与控制（C2）服务器，通过标准 HTTP POST 请求上传窃取的数据。窃取的数据使用稍加修改的 PKzip 算法进行加密和压缩，以防止窃取的数据在流出网络时被数据丢失防护工具轻易分析。

AZORult 能够锁定并窃取系统数据和凭证，包括

• 财务数据，包括支付卡号
• 加密货币认证凭证，包括私人钱包密钥
• 可能包含活动会话令牌的互联网浏览器自动填充密码缓存和 cookie 缓存
• 互联网浏览历史缓存 
• 来自 Steam、Telegram、Microsoft Outlook 和 Skype 等应用程序的验证凭证
• 系统配置信息和敏感系统文件，如 RDP 和 VPN 凭据
• 受感染系统的桌面截图

AZORult 的最新版本使用进程注入（又称进程空洞化）和离地生存（LOTL）技术来躲避安全工具的检测。这意味着恶意软件会劫持合法进程，并使用 Windows 系统上现有的预装工具来实现其目标。

不同版本的 AZORult 使用各种策略来保持持久性。不过，Azorult 使用的一种新颖而隐蔽的方法是用自己的恶意可执行文件替换 Chrome 浏览器的更新组件GoogleUpdate.exe。这可以确保在谷歌浏览器检查更新时运行攻击者的代码。虽然这种策略不能在系统重启后立即可靠地执行恶意软件，但它有效地隐藏了恶意软件的持久性方法。

• 对所有关键服务实施多因素身份验证，尤其是与网上银行和加密货币账户相关的服务
• 确保所有端点只安装经授权的数字签名软件；定期扫描并阻止任何未经授权的软件执行
• 使用内容代理监控互联网使用情况，限制用户访问可疑或有风险的网站
• 考虑开展用户意识培训，随时了解网络钓鱼技术；制定处理可疑电子邮件和文件的标准操作程序 (SOP)
• 确保 Office 应用程序配置为在无通知的情况下禁用所有宏，或禁用除数字签名宏之外的所有宏设置
• 特别注意电子邮件客户端和 Office 应用程序中的警告通知，它们会提醒您注意可疑的上下文，例如未经恶意软件扫描或包含 VBA 宏的文件