Python 後門 ViperTunnel 被用於勒索軟體 DragonForce 活動
事件背景與受害者範圍
勒索軟體組織 DragonForce 近期頻繁發動攻擊,去年曾針對多家英國零售公司進行攻擊,隨後在臺灣也有企業疑似受害。在最近一起攻擊行動中,駭客使用了新的後門程式來隱匿行蹤,引起資安公司的注意。
新型後門 ViperTunnel 的技術特徵
根據資安公司 InfoGuard 的調查報告,駭客使用以 Python 為基礎打造的後門程式 Viper Tunnel。該程式將惡意程式偽裝成系統檔案 b5yogiiy3c.dll,但其本質是以系統程式庫形式建立的 Python 指令碼。
隱匿與持久化機制
ViperTunnel 具備高度混淆能力,並利用了 Python 環境中較少被注意到的自動載入機制進行持久化(Persistence)。此後門不僅能達成持久化,更藉由 SOCKS5 隧道隱蔽資料外洩的行蹤,為後續的橫向移動與勒索軟體部署鋪平道路。
攻擊目標與影響
該後門被用於針對使用 Windows 伺服器的美國與英國企業。駭客透過此後門隱藏身份,使得傳統防毒軟體難以偵測,增加了企業資料被勒索的風險。