近期,安全研究人员发现,攻击者通过将恶意代码隐藏在图片中,分别传播VIP键盘记录器和0bj3ctivity信息窃取器。惠普Wolf Security在其2024年第三季度的《威胁洞察报告》中指出:“在这两起攻击活动中,攻击者将恶意代码隐藏在图片中,并上传至文件托管网站archive[.]org,随后使用相同的.NET加载器来安装最终的有效载荷。”
攻击手法:钓鱼邮件与图片隐藏恶意代码
攻击的起点是一封伪装成发票或采购订单的钓鱼邮件,诱使收件人打开恶意附件,例如Microsoft Excel文档。一旦打开,这些文档会利用Equation Editor中的一个已知安全漏洞(CVE-2017-11882)下载一个VBScript文件。
该脚本的作用是解码并运行一个PowerShell脚本,该脚本从archive[.]org下载一张图片,并提取其中的Base64编码代码。随后,这段代码被解码为.NET可执行文件并执行。这个.NET可执行文件作为加载器,从指定URL下载VIP键盘记录器并运行,使攻击者能够从受感染的系统中窃取大量数据,包括键盘输入、剪贴板内容、屏幕截图和凭证。VIP键盘记录器与Snake键盘记录器和404键盘记录器在功能上有相似之处。
类似攻击:恶意压缩文件与信息窃取器
另一项类似的攻击活动通过电子邮件向目标发送恶意压缩文件。这些邮件伪装成报价请求,诱使收件人打开压缩包中的JavaScript文件,该文件随后启动一个PowerShell脚本。
与之前的攻击类似,PowerShell脚本从远程服务器下载一张图片,解析其中的Base64编码代码,并运行相同的基于.NET的加载器。不同的是,这次攻击链最终部署的是一个名为0bj3ctivity的信息窃取器。
攻击趋势:恶意软件工具包的普及与GenAI的运用
这两起攻击活动的相似之处表明,攻击者正在利用恶意软件工具包来提高整体效率,同时减少攻击所需的时间和技术门槛。惠普Wolf Security还指出,攻击者正在使用HTML走私技术,通过AutoIt加载器投放XWorm远程访问木马(RAT),这与之前以类似方式分发AsyncRAT的活动如出一辙。
值得注意的是,这些HTML文件显示出使用生成式人工智能(GenAI)编写的迹象。惠普表示:“这些活动表明,GenAI在攻击链的初始访问和恶意软件投放阶段的使用正在增加。事实上,攻击者可以从GenAI中获得诸多好处,包括扩大攻击规模、创建变种以提高感染率,以及增加网络防御者的归因难度。”
恶意软件工具包的普及化
此外,攻击者还被发现创建GitHub仓库,宣传视频游戏作弊和修改工具,以部署Lumma Stealer恶意软件,并使用.NET加载器进行传播。惠普安全实验室的首席威胁研究员Alex Holland表示:“这些攻击活动进一步证明了网络犯罪的商品化趋势。随着恶意软件工具包的广泛可用、价格低廉且易于使用,即使是技能和知识有限的新手,也能构建出有效的感染链。”
通过这些攻击活动,我们可以看到,网络攻击者正在利用越来越复杂的技术和工具,使得网络防御变得更加困难。
