最近几周,安全研究人员发现,归因于“冷驱动”(COLDRIVER)高级持续威胁(APT)组织的定向攻击激增。
该攻击者引入了一种新的基于PowerShell的后门程序,名为BAITSWITCH,它采用复杂的命令与控制技术,同时能混入合法的Windows进程中。
最早的目击记录可追溯至2025年7月下旬,当时针对东南亚政府非营利组织的入侵尝试开始激增,这些尝试利用了带有武器化Office文档的鱼叉式钓鱼邮件。
这些文档在打开时会悄无声息地调用PowerShell脚本,为BAITSWITCH建立立足点。早期迹象表明,该组织改进了其社会工程学诱饵,使其模仿内部备忘录,从而提高了高价值目标的点击率。
在这些初步入侵之后,Zscaler的研究人员注意到,BAITSWITCH与典型的基于脚本的加载器不同,它将整个有效载荷嵌入到经过编码的PowerShell命令中。
加载程序并非直接从公共仓库下载二进制文件,而是直接在内存中解压加密模块。这种方法最大限度地减少了磁盘上的取证痕迹,给传统的杀毒工具带来了阻碍。
在BAITSWITCH出现后的一周内,Zscaler分析师发现了该攻击者的横向移动尝试,他们使用了Invoke-Command和Get-Service等Windows内置工具来枚举网络并进行横向渗透。
到2025年9月,事件响应团队报告称,多个组织的Active Directory账户遭到入侵,专有文档和系统快照被窃取。
BAITSWITCH的影响不止于数据窃取;其隐秘的通信渠道使攻击者能够潜伏数周后再执行破坏性有效载荷。
那些 PowerShell 日志记录不完整或缺乏网络出口监控的组织,尤其容易受到未被发现的持久化攻击。
感染机制
BAITSWITCH的感染链依赖于多阶段的PowerShell部署序列。首先,受害者会收到一个带有宏的诱饵文档,该宏会在用户交互时执行以下代码片段:
$EncPayload = "JHtQcml2YXRlS2V5fQ==" $Decoded = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($EncPayload)) Invoke-Expression $Decoded
这段代码对包含下一阶段加载程序的Base64编码字符串进行解码。然后,该加载程序使用脚本中硬编码的密钥执行AES解密程序,以获取最终的后门模块:
Function Decrypt-Module($cipherText,$key){
$AES = [System.Security.Cryptography.Aes]::Create()
$AES.Key = [Convert]::FromBase64String($key)
$AES.Mode = 'CBC'
$AES.IV = $AES.Key[0..15]
$decryptor = $AES.CreateDecryptor()
return [System.Text.Encoding]::UTF8.GetString($decryptor.TransformFinalBlock([Convert]::FromBase64String($cipherText),0,$cipherText.Length))
}解密后,BAITSWITCH将自身注册为名为“WindowsUpdateSvc”的计划任务,并将其命令注入svchost.exe进程以躲避检测。
该后门通过HTTPS与其命令与控制服务器通信,将流量伪装成常规的Windows更新请求。这种感染机制凸显了COLDRIVER对纯脚本有效载荷和操作安全的重视,使得检测和补救工作都变得更为复杂。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
