2018年，Purple Fox（紫狐）在野感染超过 30000 台计算机后被首次发现。Purple Fox通过漏洞利用和钓鱼邮件进行传播分发，自身还充当其他恶意软件的 Downloader。

　　3月23日，据外媒报道，安全研究人员发现Purple Fox增加了蠕虫传播模块，通过扫描、攻击联网的 Windows 系统进行感染传播。与此同时，更新的Purple Fox还带有Rootkit和后门功能。Purple Fox针对Windows系统进行漏洞利用套件的开发，在利用内存破坏和权限提升漏洞后，通过Web浏览器感染Windows用户。

　　Guardicore Labs的安全研究员Amit Serper和Ophir Harpaz表示：从 2020 年 5 月开始，Purple Fox的攻击快速攀升。到目前为止，累计超过了90000 次，感染量增长了600%。

　　Windows 设备面临极大风险

　　Guardicore 利用全球遥测网络对威胁进行监控，Purple Fox从去年年底开始表现出端口扫描和漏洞利用尝试的行为。扫描发现联网的Windows设备后，Purple Fox利用蠕虫模块试图通过SMB爆破入侵系统。

　　根据 Guardicore Labs 的分析报告，Purple Fox 已经组建了近 2000 台规模的僵尸网络。

　　实现主机中包括部署了 IIS 7.5 和 Microsoft FTP 的 Windows Server 服务器以及运行 Microsoft RPC、Microsoft Server SQL Server 2008 R2、Microsoft HTTPAPI httpd 2.0 等服务的服务器，这些服务都存在不同程度的漏洞。

　　Purple Fox的蠕虫模块会攻击公网暴露的SMB服务来进行入侵，不仅如此，Purple Fox还会利用网络钓鱼和Web浏览器漏洞来进行投递和传播。

　　研究发现，失陷主机同时会被作为部署恶意Payload的服务器进行恶意软件的传播。

　　Rootkit模块进行持久化

　　Purple Fox在失陷主机上部署Rootkit模块进行持久化，该Rootkit模块使用了开源项目 hidden。

　　Purple Fox会借此隐藏注册表项与文件。讽刺的是hidden这个项目是安全研究人员开发，为了在执行各种恶意软件分析任务时使某些文件对恶意软件不可见。

　　重新启动设备后，Purple Fox将恶意 DLL重命名为将在系统启动时要执行的DLL文件。

　　系统感染后会表现出明显的蠕虫行为，不断地进行SMB扫描。

　　一旦身份验证成功，Purple Fox将会创建与正则表达式（AC0[0-9]{1}）相匹配的服务名，例如 AC01、AC02、AC05。该服务会从HTTP服务器下载MSI安装包启动感染。

　　详细的IOC指标可在 GitHub中查看，包括Purple Fox 的MSI文件投递站点和 C&C 服务器。

　　IOC（C&C）

　　rpc.1qw.us

　　57.167.200.174

　　120.253.201.237

　　65.222.221.216

　　65.113.192.79

　　77.236.130.107

　　180.68.57.112

　　95.161.197.174

　　60.174.95.143

　　115.230.127.107