研究人员观察到了一种新的多阶段攻击,其传播了诸如 Agent Tesla 变种、Remcos RAT 和 XLoader 等恶意软件家族。
“攻击者越来越依赖于这种复杂的传播机制来逃避检测,绕过传统的沙盒环境,并确保有效载荷能够成功传递和执行。”Palo Alto Networks Unit 42 的研究员 Saqib Khanzada 在关于这次攻击活动的技术报告中如此说道。
攻击的起始点是一封具有欺骗性的电子邮件,伪装成一份订单请求,附带一个恶意的 7-zip 压缩文件附件,其中包含一个经过编码的 JavaScript(.JSE)文件。
在 2024 年 12 月观察到的这封网络钓鱼邮件中,虚假地声称已经完成了一笔付款,并敦促收件人查看附件中的订单文件。启动该 JavaScript 有效载荷会触发感染序列,这个文件充当了从外部服务器下载 PowerShell 脚本的下载器。
反过来,这个脚本中包含一个经过 Base64 编码的有效载荷,随后会被解密,写入 Windows 临时目录并执行。这时有趣的事情发生了:该攻击会导致使用 .NET 或 AutoIt 编译的下一阶段 dropper。
如果是一个.NET 可执行文件,那么加密的嵌入有效载荷 —— 一种被怀疑是 Snake Keylogger 或 XLoader 的 Agent Tesla 变种 —— 会被解码并注入到正在运行的 “RegAsm.exe” 进程中,这是在过去 Agent Tesla 的攻击活动中观察到的一种技术。
另一方面,用 AutoIt 编译的可执行文件引入了额外的一层,试图进一步增加分析的难度。该可执行文件中的 AutoIt 脚本包含一个加密的有效载荷,负责加载最终的 shellcode,导致.NET 文件被注入到 “RegSvcs.exe” 进程中,最终部署了 Agent Tesla。
“这表明攻击者采用了多种执行路径来提高攻击的弹性并逃避检测,” Khanzada 指出,“攻击者的重点仍然放在多层攻击链上,而不是复杂的混淆技术上。”
“通过堆叠简单的阶段,而不是专注于高度复杂的技术,攻击者可以创建具有弹性的攻击链,使分析和检测变得更加复杂。”
IronHusky 传播新版本 MysterySnail RAT
与此同时,卡巴斯基(Kaspersky)详细描述了一场攻击活动,攻击者使用一种名为 MysterySnail RAT 远程控制木马的新版本,目标是位于蒙古和俄罗斯的政府组织。该活动被认为是由一个被称为 IronHusky 的威胁行为者实施的。
IronHusky 至少从 2017 年起就开始活跃,俄罗斯网络安全公司曾在 2021 年 10 月记录过它,当时它利用了 CVE-2021-40449 这个零日漏洞(一个 Win32k 权限提升漏洞)来传播 MysterySnail RAT 远程控制木马。
感染源于一个恶意的 Microsoft 管理控制台(MMC)脚本,它模仿了蒙古国家土地局的一份 Word 文档(“co-financing letter_alamgac”)。这个脚本旨在获取一个 ZIP 压缩文件,其中包含一个诱饵文档、一个合法的二进制文件(“CiscoCollabHost.exe”)和一个恶意的动态链接库(“CiscoSparkLauncher.dll”)。
目前还不完全清楚这个 MMC 脚本是如何分发给目标对象的,不过诱饵文档的性质表明它可能是通过网络钓鱼活动传播的。
正如在许多攻击中所观察到的那样,“CiscoCollabHost.exe” 被用来加载这个动态链接库,这是一个中间后门,能够利用开源的管道服务器项目与攻击者控制的基础设施进行通信。
这个后门支持运行命令 shell、下载 / 上传文件、枚举目录内容、删除文件、创建新进程以及终止自身等功能。然后,这些命令被用来加载 MysterySnail RAT。
该恶意软件的最新版本能够接受近 40 条命令,使其能够执行文件管理操作、通过 cmd.exe 执行命令、生成和终止进程、管理服务,并通过专用的动态链接库模块连接到网络资源。
卡巴斯基表示,在受影响的公司采取预防措施阻止入侵后,他们观察到攻击者投放了一个 “重新利用且更轻量级版本” 的 MysterySnail ,代号为 MysteryMonoSnail。
“这个版本的功能没有 MysterySnail RAT 远程控制木马的完整版本那么多,” 该公司指出,“它被编程为只有 13 条基本命令,用于列出目录内容、将数据写入文件,以及启动进程和远程shell。”
发表评论
您还未登录,请先登录。
登录