Cyble 研究与情报实验室 (CRIL)最近的研究揭露了由越南威胁组织策划的复杂多阶段恶意软件攻击。该活动专门针对求职者和数字营销专业人士,采用了各种高级策略,包括使用 Quasar RAT,这允许攻击者完全控制受感染的系统。
此次攻击似乎源自包含网络钓鱼附件的垃圾邮件。这些电子邮件旨在诱使收件人打开一个存档文件,其中包含伪装成 PDF文档的 LNK 文件。
事件序列从执行 LNK 文件开始,该文件携带用于从外部来源下载高度混淆的脚本的 PowerShell 命令。此策略旨在绕过传统的检测方法,尤其是在非虚拟化环境中。
越南威胁组织发起的 Quasar RAT 攻击活动
一旦确认环境没有分析工具,攻击者就会使用硬编码密钥解密有效载荷。此步骤将激活 Quasar RAT,使威胁行为者能够广泛访问受感染的系统,从而促进数据泄露,并可能部署其他恶意软件。
2022 年 7 月,越南威胁组织通过传播专门针对数字营销专业人士的 Ducktail 恶意软件加强了其行动。
该组织扩大了武器库,包括多种类型的恶意软件,特别是信息窃取程序和远程访问木马 (RAT)。攻击者还利用恶意软件即服务 (MaaS) 框架来创建更加通用和可扩展的活动。
CRIL 表示,根据各种指标,包括目标选择、攻击工具和恶意负载的传递,此次攻击活动可归因于越南威胁组织。这些因素与网络安全专家发现的先前攻击活动中使用的策略非常吻合,这进一步证实了有组织的网络犯罪活动的怀疑。
攻击机制
恶意软件攻击的初始阶段涉及一个恶意 LNK 文件,该文件执行 PowerShell 命令来下载托管在 Dropbox 上的其他脚本。用于此操作的特定链接旨在通过 Invoke-Expression (IEX) 和 Invoke-RestMethod (irm) PowerShell 命令执行命令。
一旦执行PowerShell 脚本,它就会解码诱饵 PDF 文件和批处理文件,并将它们存储在名为“PositionApplied_VoyMedia.pdf”和“output.bat”的下载文件夹中。然后,脚本使用 Start-Process 命令触发这些文件。
这次复杂攻击活动的主要目标似乎是数字营销、电子商务和效果营销领域的专业人士,尤其是那些专注于Meta广告(Facebook、Instagram)的专业人士。攻击中使用的诱饵文件是专门针对这一人群而设计的,增加了参与的可能性。
虚拟机逃避技术
这种多阶段恶意软件攻击的标志性特征之一是它专注于通过识别其是否在虚拟机环境中运行来逃避检测。“output.bat”文件使用 Windows 管理规范命令行 (WMIC) 命令来确定磁盘驱动器类型和制造商,检查指示虚拟机的签名,例如“DADY HARDDISK”或“QEMU”和“VirtualBox”等制造商。
如果环境被识别为虚拟环境,脚本就会退出以避免被检测到。如果不是,它将继续执行混淆的 PowerShell 脚本,从而有效地绕过许多现有的安全措施 。
解密和执行
PowerShell 脚本还包括一个解密阶段,从“output.bat”文件中提取 base64 编码的字符串。这些字符串使用硬编码密钥进行 AES 解密,然后通过 GZip 流解压缩。此过程会生成一个在内存中运行并进行进一步检测规避检查的 .NET 可执行文件。
虚拟环境的高级检查
该恶意软件采用一系列复杂的检查来确定其是否在沙盒或虚拟环境中运行。这些方法包括:
检查与VMware 和 Parallels 等虚拟化软件相关的特定文件名。
检查沙盒解决方案特有的特定 DLL 模块是否存在。
测量系统滴答计数的 时间差异来检测模拟环境。
如果任何一项检查表明存在虚拟或沙盒环境,恶意软件就会触发异常,停止进一步执行以避免被发现。
权限提升与持久性
成功执行后,恶意软件会检查管理权限。如果可执行文件缺乏这些权限,它会修改其环境,以使用 PowerShell 命令或 COM 对象调用来获得提升的权限。
提升权限后,恶意软件会将自身复制到 Windows 目录中的隐藏文件夹中,并通过修改 Windows 注册表来确保在启动时自动运行。
防御规避策略
该恶意软件的规避技术不仅限于初始执行。它会修改关键的 Windows 功能以禁用事件跟踪,从而隐藏其存在,不让安全监控工具发现。该恶意软件还会加密和压缩敏感数据(包括其有效载荷),以进一步伪装其操作。
Quasar RAT 的部署
攻击的最后阶段涉及执行 Quasar RAT,该版本已进行了调整以降低其可检测性。此版本的 Quasar RAT 能够执行一系列恶意任务,包括数据窃取和对受感染系统的远程控制。
Quasar RAT 配置了各种参数,包括特定主机地址、启动密钥和日志目录,这些都是其运行不可或缺的部分。修改其属性有助于避免归因和检测,从而使越南威胁组织能够以更大的匿名性进行操作。
完整技术报告:
https://cyble.com/blog/vietnamese-threat-actors-multi-layered-strategy-on-digital-marketing-professionals/
新闻链接:
https://thecyberexpress.com/quasar-rat/
