网络安全研究人员发现名为Hijack Loader的恶意软件加载器推出新版本,通过新增功能逃避检测并在受感染系统中建立持久化驻留。Zscaler ThreatLabz研究员Muhammed Irfan V A在分析报告中指出:"Hijack Loader新增调用栈欺骗模块,用于隐藏函数调用(如API和系统调用)的原始来源。该加载器还添加了反虚拟机检测模块,可识别恶意软件分析环境和沙箱。"
Hijack Loader最早于2023年被发现,具备投放信息窃取类恶意软件等第二阶段有效载荷的能力。该加载器配备多种模块,可绕过安全软件并注入恶意代码。网络安全社区将其追踪为DOILoader、GHOSTPULSE、IDAT Loader和SHADOWLADDER等别名。
2024年10月,HarfangLab与Elastic安全实验室曾详细披露Hijack Loader攻击活动,其利用合法代码签名证书及臭名昭著的ClickFix策略进行传播。最新版本较前代有多项改进,最显著的是新增调用栈欺骗作为规避技术,隐藏API和系统调用的原始来源——这种技术近期也被另一款名为CoffeeLoader的恶意软件加载器采用。
Zscaler解释称:"该技术通过EBP指针链遍历堆栈,用伪造的堆栈帧替换真实堆栈帧,从而隐藏恶意调用痕迹。"与前代版本相同,Hijack Loader仍采用Heaven's Gate技术执行64位直接系统调用以实现进程注入。其他改进包括更新进程黑名单,新增Avast杀毒软件组件"avastsvc.exe",并将执行延迟设置为5秒。
该恶意软件还新增两个模块:用于检测虚拟机的ANTIVM模块,以及通过计划任务建立持久化的modTask模块。研究结果表明,Hijack Loader仍在被运营者积极维护,旨在增加分析与检测难度。
SHELBY恶意软件利用GitHub实施命令控制
与此同时,Elastic安全实验室披露了新型恶意软件家族SHELBY,其利用GitHub进行命令控制(C2)、数据外泄和远程操控,该活动被追踪为REF8685。攻击链始于钓鱼邮件,通过分发包含.NET二进制文件的ZIP压缩包,利用DLL侧加载技术执行名为SHELBYLOADER的DLL加载器("HTTPService.dll")。攻击者向伊拉克某电信公司发送高度定向的钓鱼邮件,邮件实际源自目标组织内部。
加载器随后与GitHub建立C2通信,从攻击者控制的代码仓库中名为"License.txt"的文件提取特定48字节值。该值用于生成AES解密密钥,解密主后门有效载荷("HTTPApi.dll")并加载至内存,避免在磁盘留下可检测痕迹。Elastic指出:"SHELBYLOADER采用沙箱检测技术识别虚拟化或受监控环境,执行后将检测结果以日志文件形式回传C2,详细记录各检测方法是否成功识别沙箱环境。"
SHELBYC2后门则解析名为"Command.txt"的文件中列出的指令,实现GitHub仓库文件上传/下载、反射加载.NET二进制文件以及执行PowerShell命令。值得注意的是,其C2通信通过个人访问令牌(PAT)向私有仓库提交commit实现。该公司强调:"由于PAT令牌被硬编码在二进制文件中,任何获取该令牌的人理论上都能获取攻击者发送的指令,并访问任意受害机器的命令输出。"
Emmenhtal通过7-Zip文件传播SmokeLoader
研究人员还发现以支付为主题的钓鱼邮件传播代号为Emmenhtal loader(又称PEAKLIGHT)的恶意软件加载器家族,该加载器作为传播SmokeLoader恶意软件的渠道。
GDATA表示:"在此次发现的SmokeLoader样本中,攻击者使用商业级.NET保护工具.NET Reactor进行混淆和打包,这一技术值得关注。虽然SmokeLoader历来采用Themida、Enigma Protector等加壳工具及自定义加密器,但.NET Reactor因其强大的反分析机制,正被更多窃密软件和加载器类恶意软件采用。"
