RainyDay、Turian和Naikon恶意软件滥用DLL搜索顺序执行恶意加载程序

三个复杂的恶意软件家族已成为中亚和南亚地区电信及制造业的重大威胁，它们代表着一场协同攻击行动，通过利用合法的系统进程来提供强大的后门功能。

自2022年以来，RainyDay、Turian以及PlugX的一个新变种一直在系统性地滥用DLL搜索顺序劫持技术来执行恶意加载程序，从而在目标网络中建立持久的立足点。

这些恶意软件家族的融合揭示了一项复杂的行动，该行动利用了共享的基础设施和方法，表明此前不同的威胁行为者之间可能存在合作。

这三种恶意软件变体都利用同一个合法的移动弹窗应用程序进行DLL侧载，使用相同的RC4加密密钥，并采用XOR-RC4-RtlDecompressBuffer算法对有效载荷进行解密。

这种技术上的重叠表明，要么是开发资源共享，要么是各运营团队之间存在协调分配。

该活动主要针对电信和制造业领域的组织，重点覆盖中亚和南亚各国。

对这些行业和地理区域的战略性选择与间谍活动目标相契合，尤其是考虑到这些行业所涉及的关键基础设施和敏感通信。

这场行动具有持续性，至少从2022年起就十分活跃，其部分组成可追溯至2016年，这体现了高级持续性威胁行动所特有的持久且有耐心的策略。

思科Talos的分析师通过广泛的追踪工作发现了这一攻击活动，这些工作揭示了这些看似独立的恶意软件家族之间的关联性。

这一发现是在对RainyDay后门活动的调查过程中得出的，研究人员发现这三个家族都存在对合法应用程序的共同滥用以及一致的加密方法。

这一发现使得我们能够进行归因评估，将这些活动与已知的威胁组织联系起来，特别是Naikon，还有可能是BackdoorDiplomacy。

这些攻击的技术复杂性远超简单的恶意软件部署，还包含了先进的规避技术和持久化机制，使得网络能被长期入侵。

嵌入在PlugX变种中的键盘记录器组件已在受害者环境中成功维持了近两年的持久性，这凸显了这些工具在保持秘密访问方面的有效性。

这些恶意软件家族不仅在技术实现上存在相似之处，还在攻击目标模式和操作方法上具有共性，这表明它们的策划和执行是协同进行的。

DLL搜索顺序劫持利用机制

RainyDay、Turian以及PlugX变种所采用的核心感染机制，主要是利用Windows DLL搜索顺序漏洞，通过合法进程实现代码执行。

这种技术包括将恶意DLL文件放置在Windows会加载它们而非合法库的位置，从而有效地劫持正常的应用程序加载过程。

这些恶意软件家族通过滥用合法应用程序来实现这一点，尤其将移动弹窗应用作为其DLL侧加载操作的主要载体。

当这些合法应用程序尝试加载所需的DLL文件时，Windows加载程序会按照预定的搜索顺序来查找必要的库。

攻击者利用这种行为，将其恶意的DLL加载程序放置在那些比合法库位置先被搜索到的目录中。

一旦恶意DLL被合法进程加载，它就会在受信任的应用程序中获得执行上下文，从而能够在安全监控系统的较少怀疑下运行。

技术实现涉及三个不同的加载程序文件，每个文件对应各自的恶意软件家族。

RainyDay加载器针对“rdmin.src”文件并对其中的数据进行解密，而PlugX变种则处理“Mcsitesdvisor.afx”文件，Turian则处理“winslivation.dat”文件。

每个加载器在进入更复杂的有效载荷处理阶段之前，都会使用异或加密作为初始解密层。

这些加载器之间共享的代码库显示出复杂的开发协作，这三种实现都使用GetModuleFileNameA API来获取可执行文件路径，并从感染目录中硬编码的文件名读取加密数据。

解密后的shellcode遵循相同的格式标准，包含经过RC4加密和LZNT1压缩的数据，这些数据会经历多阶段的解包过程。

这个过程最终通过执行CALL或JMP指令，将最终的恶意软件有效载荷部署到内存中。

对加载程序样本中嵌入的程序数据库（PDB）路径进行分析，有助于了解威胁行为者所采用的开发流程和命名规范。

Turian加载器包含引用“icmpsh-master”的路径，其中的中文文本翻译为“提供网页版”，这表明其针对基于网络的命令和控制基础设施进行了修改。

这些技术制品展示了在为特定操作需求开发和定制这些工具时所采用的有条理的方法，同时在不同恶意软件家族中保持了共享功能。