近期一项网络安全调查揭示,一类最初仅使用简单Python窃密脚本的钓鱼攻击活动,已升级为部署功能完备的商品化远程访问木马(RAT)PureRAT。攻击者从自定义脚本转向利用复杂的商用工具,攻击链条包含10个阶段,涉及DLL侧载、进程镂空、AMSI/ETW篡改等技术,最终暴露PureRAT。该木马拥有加密C2信道、主机指纹识别和加载额外模块的能力。攻击活动通过Telegram机器人传输窃取信息,并与PXA Stealer恶意软件家族及越南威胁行为者有关联,PureRAT的C2服务器也位于越南。
🔍 **攻击手段升级:** 最初的钓鱼攻击活动仅使用简单的Python窃密脚本,现已升级为部署功能完备的商品化远程访问木马(RAT)PureRAT,显示攻击者正从自定义脚本转向利用更复杂的商用工具。
⚙️ **复杂攻击链:** 该攻击活动包含10个阶段,利用DLL侧载技术加载恶意DLL,并通过进程镂空攻击绕过系统防御,篡改AMSI和ETW等反恶意软件机制,逐步解包和部署PureRAT。
🕵️ **溯源与关联:** 攻击者通过Telegram机器人传输窃取的数据,与PXA Stealer恶意软件家族有关联,该家族已被证实与越南威胁行为者有关。PureRAT的命令与控制服务器也位于越南,进一步印证了攻击的归属。
HackerNews 编译,转载请注明出处:
近期一项调查显示,某钓鱼攻击活动最初仅使用简单的 Python 窃密脚本,最终却升级至部署 PureRAT—— 一款功能完备的商品化远程访问木马(Remote Access Trojan,简称 RAT)。
网络安全公司 Huntress 发布的研究报告指出,攻击者的技术手段已从使用自定义脚本,逐步升级为利用功能复杂的商用工具。
该攻击活动始于钓鱼邮件,邮件中附带伪装成 “版权通知” 的 ZIP 压缩包。压缩包内包含一个经过签名的 PDF 阅读器可执行文件(.exe),以及一个恶意的 version.dll 文件,攻击者借此实现 “DLL 侧载”(DLL Sideloading)攻击。此后,攻击共分 10 个阶段逐步推进,通过加载器层、加密层与持久化机制的层层叠加,复杂度不断升级。
此次攻击活动的显著特点是,在第 3 阶段实现了从 Python 脚本到编译后的.NET 可执行文件(.exe)的技术转型。
攻击者对系统进程 RegAsm.exe 实施 “进程镂空”(Process Hollowing)攻击,对 Windows 自带的反恶意软件扫描接口(AMSI)和事件跟踪日志(ETW)等防御机制进行补丁篡改,随后逐步解包更多恶意载荷,最终暴露的核心恶意程序即为 PureRAT。该木马可为攻击者提供加密的命令与控制(C2)信道、主机指纹识别功能,以及加载额外恶意模块的能力。
攻击前期阶段的核心目标是窃取凭证信息,并从 Chrome、Firefox 等浏览器中收集数据。
攻击者将窃取的信息打包为 ZIP 文件后,通过 Telegram 机器人 API(Telegram Bot API)传输。与账号 @LoneNone 相关联的元数据显示,该攻击活动与 “PXA 窃密者”(PXA Stealer)恶意软件家族存在关联,而该家族此前已被证实与越南威胁行为者有关。
此外,PureRAT 的命令与控制(C2)服务器经溯源也位于越南,进一步印证了这一攻击归因结论。
消息来源:infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
