观察到一场新的活动通过伪装成乌克兰政府机构实施钓鱼攻击,以传播CountLoader,进而利用该工具投放Amatera Stealer和PureMiner。
“这些钓鱼邮件包含恶意的可缩放矢量图形(SVG)文件,其设计目的是诱骗收件人打开有害附件,”Fortinet FortiGuard实验室的研究员万宇仁(Yurren Wan)在一份与《黑客新闻》分享的报告中表示。
在这家网络安全公司记录的攻击链中,SVG文件被用于启动一个受密码保护的ZIP压缩包的下载,该压缩包包含一个编译的HTML帮助(CHM)文件。CHM文件在启动时会触发一系列事件,最终导致CountLoader的部署。这些电子邮件声称是来自乌克兰国家警察局的通知。
CountLoader是Silent Push近期分析的对象,现已发现它会投放多种有效载荷,如Cobalt Strike、AdaptixC2和PureHVNC远程访问木马。然而,在这条攻击链中,它充当了Amatera Stealer(ACRStealer的一个变种)和PureMiner(一种隐蔽的.NET加密货币挖矿程序)的分发载体。
值得指出的是,PureHVNC远程访问木马(RAT)和PureMiner都属于一个更广泛的恶意软件套件,该套件由一个名为PureCoder的威胁行为者开发。同一作者的其他一些产品包括——
- PureCrypter,一款适用于原生程序和.NET的加密器
- PureRAT(又名ResolverRAT),是PureHVNC RAT的后续版本
- PureLogs,一种信息窃取与记录工具
- BlueLoader是一种恶意软件,可通过远程下载和执行有效载荷来充当僵尸网络。
- PureClipper是一种剪贴板恶意软件,它会将复制到剪贴板中的加密货币地址替换为攻击者控制的钱包地址,从而转移交易并窃取资金。
据Fortinet称,Amatera Stealer和PureMiner均以无文件威胁的形式部署,这类恶意软件“通过.NET提前编译(AOT)配合进程空洞技术执行,或利用PythonMemoryModule直接加载到内存中”。
Amatera Stealer一旦启动,会收集系统信息,收集与预定义扩展名列表匹配的文件,并从基于Chromium和Gecko的浏览器,以及Steam、Telegram、FileZilla和各种加密货币钱包等应用程序中窃取数据。
“此次钓鱼攻击活动展示了恶意SVG文件如何充当HTML替代品来启动感染链,”Fortinet表示。在这起案例中,攻击者以乌克兰政府机构为目标,发送了带有SVG附件的电子邮件。SVG中嵌入的HTML代码会将受害者重定向到一个下载网站。
这一进展的背景是,Huntress发现了一个可能说越南语的威胁组织,该组织利用带有版权侵权通知主题的钓鱼邮件,诱骗收件人打开ZIP压缩包,进而部署PXA Stealer,随后该恶意软件会演变为多层感染序列,并释放PureRAT。
“这场攻击活动展现出清晰且刻意的递进过程,从简单的钓鱼诱饵开始,逐步升级为内存加载器、防御规避和凭证窃取等多个层面,”安全研究员詹姆斯·诺西说。“最终的有效载荷PureRAT是这一系列行动的顶点:它是一个模块化、专业开发的后门程序,能让攻击者完全控制被攻陷的主机。”
“他们从对Python有效载荷进行拙劣的混淆处理,到滥用像PureRAT这样的普通恶意软件,这不仅体现了其持续性,也展现出一个严重且不断成熟的攻击者所具备的特征。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
