一种新的、复杂的恶意软件活动被发现,该活动利用 Microsoft 的 Azure Functions 进行命令和控制 (C2) 基础设施,这是一种使检测和删除工作复杂化的新技术。
根据 Dmpdump 报告,该恶意软件最初是从 2025 年 8 月 28 日从马来西亚上传到 VirusTotal 的文件中发现的,它采用多阶段感染过程,涉及 DLL 侧载和内存有效负载执行,以保持隐藏状态。
攻击从名为 的磁盘映像文件开始。此 ISO 包含四个文件:一个合法的 Palo Alto Networks 可执行文件 ()、一个快捷文件 () 和两个隐藏的动态链接库 (DLL),以及恶意 .Servicenow-BNM-Verify.isoPanGpHip.exeservicenow-bnm-verify.lnklibeay32.dlllibwaapi.dll
当用户单击快捷方式文件时,它会执行合法的 .但是,此可执行文件容易受到 DLL 侧加载的影响,导致它从同一目录加载恶意文件。PanGpHip.exelibwaapi.dll
这种技术允许恶意软件以受信任应用程序的幌子运行,绕过初始安全检查。
快捷方式文件的元数据显示,它是在 2025 年 8 月 25 日,即上传前三天,由用户“john.GIB“,可以一睹威胁行为者的开发环境。
有效载荷注入和混淆
加载后,恶意者会启动复杂的有效负载注入序列。它首先隐藏其控制台窗口并创建一个互斥锁,以确保只有一个恶意软件实例在受害者的计算机上运行。libwaapi.dll
然后,它将其主要有效负载注入 的内存中,这是一个合法的 Windows 组件。这个过程涉及多层解密和混淆。chakra.dll
该恶意软件通过对字符串“rdfY*&689uuaijs”进行哈希处理来计算 RC4 密钥,并使用它来解密有效负载。注入的有效负载是一个混淆的 shellcode,它使用 LZNT1 算法解压缩最终的 DLL 植入。
这个最终的有效负载被严重混淆,分析表明它实现了模块脱钩以逃避安全软件的检测。
它的功能包含在导出的函数中,这是容纳恶意代码的不太常见的选择。DllUnload
该恶意软件最重要的方面是它使用 Azure Functions 进行 C2 通信。最终有效负载通过 POST 请求将受害者数据发送到 。logsapi.azurewebsites[.]net/api/logs
根据 Dmpdump 报告,通过将其 C2 托管在 Azure 等合法无服务器平台上,该恶意软件使网络防御者难以阻止恶意流量而不影响对合法 Microsoft 服务的访问。
泄露的数据以 XML 格式发送,其中包含有关受感染系统的详细信息。这包括计算机和用户名、作系统版本、系统正常运行时间以及运行恶意软件及其父进程的进程。
2025 年 9 月 5 日从新加坡上传了具有相同导入哈希的相关恶意软件样本,表明该活动可能更广泛。
安全研究人员正在继续分析最终有效负载,以了解其全部功能。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
