2025年第一季度,网络安全战场硝烟四起,网络犯罪分子继续发起新的攻击并优化其攻击手段。本文对五大值得关注的恶意软件进行了概述和简要分析。
NetSupport RAT:利用ClickFix技术传播
2025年初,攻击者开始利用一种被称为ClickFix的技术来传播 NetSupport 远程访问木马(RAT)。这种技术会将虚假的验证码页面注入被攻陷的网站,诱导用户执行恶意 PowerShell 命令,从而下载并运行 NetSupport RAT。一旦安装成功,该 RAT 会赋予攻击者对受害者系统的完全控制权,包括实时屏幕监控、文件操作以及任意命令执行。
NetSupport RAT 的主要技术特点:
- 攻击者可以实时查看并控制受害者屏幕。
- 上传、下载、修改和删除受感染系统中的文件。
- 远程运行系统命令和 PowerShell 脚本。
- 捕获复制的文本,包括密码和敏感数据。
- 记录用户按键以窃取凭证。
- 启动、停止和修改系统进程和服务。
- 通过启动文件夹、注册表键或计划任务实现持久化。
- 使用进程注入和代码混淆技术逃避检测。
- 通过加密流量与攻击者保持隐秘通信。
当 NetSupport RAT 感染系统时,它会立即与命令和控制 (C2) 服务器建立连接,从而允许攻击者远程作受感染的机器。通过此连接,攻击者可以执行系统命令、部署其他恶意软件和修改系统设置。
检测到的 CnC 连接
NetSupport RAT 还使用多种战术、技术和程序(TTP)来维持持久性、逃避检测并收集系统数据。关键的 TTP 包括:
- 持久性与执行:修改注册表启动项,通过 wscript.exe 执行脚本。
- 发现:读取计算机名称、检查系统语言并访问环境变量。
- 防御规避与 C2 通信:投放合法的 Windows 可执行文件,创建远程控制的互联网连接对象。
NetSupport RAT 使用的主要TTP
Lynx 勒索软件:瞄准多行业的加密攻击
Lynx 勒索软件即服务(RaaS)组织以其高度结构化而闻名,提供完善的附属计划与强大的加密方法。基于早期 INC 勒索软件的基础,Lynx 提升了其能力并扩大了攻击范围,瞄准了多、、个国家的不同行业。
Lynx 的附属面板允许其附属机构在用户友好的界面中配置受害者资料、生成自定义勒索软件样本并管理数据泄露计划。由于其结构化方法,即使对于技术专业知识有限的人来说,它也成为最容易获得的勒索软件之一。
为了激励参与,Lynx 向附属公司提供 80% 的赎金收益份额。该组织维护着一个泄密网站,如果受害者未能支付赎金,就会在那里发布被盗数据。
Lynx 主要攻击事件:
2025年第一季度,Lynx 加密了一个领先的澳大利亚卡车经销商系统,以及一家美国专门从事公司法和证券法的律师事务所,窃取了大量敏感数据,威胁受害者支付赎金。
Lynx 的主要技术特点:
- 默认加密所有文件,包括本地驱动器、网络共享和可移动媒体。
- 通过 RaaS 配置,可针对特定文件类型、文件夹或扩展名。
- 在加密前窃取敏感数据,包括文档、凭证和财务信息。
- 通过 HTTPS 或自定义加密通道传输被盗数据。
- 删除卷影副本并禁用 Windows 恢复功能以防止还原。
- 关闭可能阻止加密的应用程序。
- 使用凭证转储技术提取存储的密码。
- 通过 Tor 网络匿名通信并与 C2 服务器保持连接。
- 检测虚拟机和沙箱环境,改变行为以逃避分析。
- 在内存中运行,避免将文件写入磁盘。
可以在下述受控环境中直接观察 Lynx Ransomware 的行为。成功被感染后,桌面背景被勒索消息替换,攻击者留下一张便条警告所有数据都已被盗和加密,受害者被指示下载 Tor 以联系他们。
攻击者留下的勒索软件消息
一些文件也被重命名,,并附加其扩展名。例如,C:\Users\admin\Desktop\academicroad.rtf 变为 C:\Users\admin\Desktop\academicroad.rtf.LYNX。
检测到使用 .lynx 重命名的文件
整个系统中的数十个文件以这种方式被修改,进一步证实了其加密过程。这些只是 Lynx 在受感染系统内执行的众多破坏性作中的一小部分。
AsyncRAT:利用 Python 负载和 TryCloudflare 隧道
2025 年初,网络安全研究人员发现了一个复杂的恶意软件活动,该活动部署了 AsyncRAT,这是一种远程访问木马,以其高效的异步通信功能而闻名。
该活动因其使用基于 Python 的有效负载和利用 TryCloudflare 隧道来增强隐身性和持久性而脱颖而出。
攻击始于一封包含 Dropbox URL 的网络钓鱼电子邮件。当收件人单击该链接时,他们会下载一个 ZIP 存档,其中包含 Internet 快捷方式 (URL) 文件。反过来,此文件通过 TryCloudflare URL 检索 Windows 快捷方式 (LNK) 文件。执行 LNK 文件会触发一系列脚本、PowerShell、JavaScript 和批处理脚本,这些脚本会下载并执行 Python 负载。
此负载负责部署多个恶意软件系列,包括 AsyncRAT、Venom RAT 和 XWorm。
AsyncRAT的主要技术特点:
- 允许攻击者在受感染的系统上执行命令、监控用户活动和管理文件。
- 能够窃取敏感信息,包括凭据和个人数据。
- 采用技术来维护长期访问,例如修改系统注册表和利用启动文件夹。
- 使用混淆和加密来逃避安全解决方案的检测。
AsyncRAT 连接到 masterpoldo02[.]kozow[.]COM 通过端口 7575,允许远程攻击者控制受感染的机器。阻止此域并监控流向此端口的流量有助于防止感染。
此外,AsyncRAT 将自身安装在 %AppData% 中以混入合法应用程序,并使用互斥锁 (AsyncMutex_alosh) 来防止多个实例运行。
在受控环境中分析恶意配置
该恶意软件还使用带有硬编码密钥和 salt 的 AES 加密,使安全工具难以分析其通信。
AsyncRAT 使用的 AES 加密
Lumma Stealer:基于 GitHub 的分发
2025 年初,网络安全专家发现了一个复杂的活动,涉及信息窃取恶意软件 Lumma Stealer。
攻击者使用 GitHub 的发布基础设施来分发此恶意软件,利用该平台的可信度绕过安全措施。执行后,Lumma Stealer 会启动其他恶意活动,包括下载和运行其他威胁,如 SectopRAT、Vidar、Cobeacon 和其他 Lumma Stealer 变体。
Lumma Stealer的主要技术特点:
- 通过 GitHub 版本分发,利用可信基础设施来逃避安全检测。
- 窃取浏览器凭据、cookie、加密货币钱包和系统信息。
- 将被盗数据发送到远程服务器,实现实时泄露。
- 可以下载和执行其他恶意软件,包括 SectopRAT、Vidar 和 Cobeacon。
- 使用注册表修改和启动项来维护访问权限。
- 可通过基于网络的安全监控工具进行检测,揭示恶意通信模式。
执行时,恶意软件会连接到其命令和控制服务器,从而让敏感数据泄露。分析还揭示了特定 Suricata 规则的触发。
由 Lumma Stealer 触发的 Suricata 规则
分析会议还揭示了 Lumma 如何从 Web 浏览器窃取凭据并泄露个人数据。
Lumma Stealer 盗窃凭据和个人数据
InvisibleFerret:潜伏在虚假工作机会中的无声威胁
在一波社会工程攻击中,网络犯罪分子一直在利用 InvisibleFerret(一种基于 Python 的隐蔽恶意软件)来破坏毫无戒心的受害者。
这种恶意软件在虚假求职面试过程中伪装成合法软件,已被积极用于虚假面试活动,攻击者冒充招聘人员诱骗专业人士下载恶意工具。
InvisibleFerret的主要技术特点:
- 该恶意软件使用杂乱无章且混淆不清的 Python 脚本,使分析和检测具有挑战性。
- InvisibleFerret 主动搜索和泄露敏感信息,包括源代码、加密货币钱包和个人文件。
- 通常由另一种名为 BeaverTail 的恶意软件作为辅助有效载荷提供,BeaverTail是一种基于 JavaScript 的混淆信息窃取程序和加载程序。
- 该恶意软件在受感染的系统上建立持久性,确保持续访问和控制。
InvisibleFerret 攻击的一个关键要素是部署 BeaverTail,这是一个恶意 NPM 模块,可提供可移植的 Python 环境 (p.zip) 来执行恶意软件。
分析InvisibleFerret的泄露信息
作为多层攻击链的第一阶段,BeaverTail 设置了 InvisibleFerret,这是一个具有高级混淆和持久性机制的隐蔽后门,使检测变得困难。