BRUSHWORM 后门和 BRUSHLOGGER 键盘记录器袭击南亚银行

执行摘要

Elastic Security Labs 已识别出两个定制的恶意软件组件 —— 一个名为 BRUSHWORM 的模块化后门和一个名为 BRUSHLOGGER 的 DLL-side-loaded 键盘记录器 —— 被部署在南亚的一家金融机构。后门通过 USB 可移动媒体传播并建立持久的远程访问，而键盘记录器则捕获来自目标进程的按键。Elastic 在 2026 年 4 月 26 日发布的分析中没有将此行动归因于一个已知的威胁行为者或提供具体的 CVEs，因为恶意软件似乎是为这次行动定制构建的。

技术分析

BRUSHWORM 作为一个具有基于 USB 传播能力的模块化后门。根据 Elastic Security Labs 的说法，恶意软件监控可移动驱动器的插入，并将其自身复制到目标设备，很可能使用自动运行机制或快捷方式文件技术来实现在相邻系统上的执行。一旦激活，BRUSHWORM 建立命令和控制（C2）通信，允许操作者部署额外的模块或窃取数据。Elastic 没有披露具体的 C2 协议或加密方法。

BRUSHLOGGER 是一个通过 DLL 侧加载实现的键盘记录器 —— 一种合法可执行文件从相邻目录加载恶意 DLL 而不是系统路径的技术。键盘记录器从特定进程中钩取键盘输入，尽管 Elastic 的报告没有命名目标应用程序。USB 传播后门和特定于进程的键盘记录器的组合表明，操作者旨在在受害者网络内横向移动，并从监控的工作站捕获凭证或敏感数据。

Elastic 指出，这两个组件在一家未具名的金融机构的单一事件中被观察到。在最初的披露中，没有发布任何公共入侵指标（IOCs），如文件哈希、IP 地址或域名。

缓解措施与建议

金融部门的防御者，特别是在南亚，应监控异常的 USB 设备活动和未经授权的 DLL 加载。Elastic 建议启用 Windows 事件 ID 4688（进程创建）和 Sysmon 事件 ID 7（图像加载）的日志记录，以检测 DLL 侧加载尝试。组织应通过组策略限制可移动媒体上的自动运行功能，并在可行的情况下强制执行应用程序白名单。鉴于缺乏公共 IOCs，网络防御者应优先考虑针对从可移动驱动器生成的意外子进程和来自非标准路径的 DLL 加载事件的行为检测规则。