尽管 FBI 今年早些时候努力取缔了臭名昭著的远程管理工具 (RAT) 恶意软件 WarzoneRAT,但它还是卷土重来。
在夺取其基础设施并逮捕网络犯罪计划背后的关键人物后,联邦调查局认为他们已经阻碍了 WarzoneRAT 恶意软件的运作。
然而,Cyble 研究与情报实验室 (CRIL) 最近的观察表明并非如此,因为在野外发现了新的 WarzoneRAT(也称为 Avemaria)实例。
WarzoneRAT 重新加入暗网世界
据Cyble 研究与情报实验室 (CRIL)称,最新一波 WarzoneRAT 活动似乎与税务主题的垃圾邮件有关,通过巧妙伪装的附件来利用毫无戒心的受害者。
在一种情况下,攻击链以压缩附件开始,其中隐藏了伪装成 PNG 图像的恶意 LNK 文件。执行后,该 LNK 文件会触发一系列 PowerShell 命令,最终通过涉及 VBScript 和反射加载技术的多阶段过程部署 WarzoneRAT。
活动中观察到的另一种方法涉及使用包含看似无害文件的 ZIP 存档,其中包括合法的 EXE、恶意 DLL 和 PDF文档。执行合法 EXE 后,恶意软件会利用DLL 旁加载来加载恶意 DLL,从而启动 WarzoneRAT 感染过程。
WarzoneRAT AKA Avemaria 杠杆隐形
这些攻击的复杂性在于其多方面的方法,其中包括混淆技术、规避策略以及利用反射程序集加载将恶意软件注入合法进程(例如 RegSvcs.exe)。 通过在运行时动态加载有效负载并逃避检测机制,WarzoneRAT 背后的攻击者表现出了对网络安全漏洞的敏锐理解。
此外,选择以税收为主题的垃圾邮件作为发送机制,凸显了攻击者利用用户信任和预期的努力。通过利用熟悉的主题(例如税务相关文件),威胁行为者可以增加成功感染的可能性,从而最大限度地扩大其恶意活动的影响。
尽管 FBI 之前进行了干预,但 WarzoneRAT 已经表现出坚定的态度,不断调整其策略和技术来逃避检测并继续其恶意活动。通过结合使用混淆技术、规避策略和主题社会工程,威胁行为者旨在最大限度地提高攻击的有效性,同时使防御者检测和缓解攻击的工作变得复杂化。
WarzoneRAT 的兴衰
Warzone RAT 于 2019 年 1 月首次作为一种强大的远程访问木马 (RAT) 出现,到 2020 年,它迅速作为顶级恶意软件菌株而声名狼藉。它以合法商业 IT 管理工具的伪装运行,作为恶意软件出售。 -由名为 Solmyr 的在线人物提供的服务 (MaaS),提供价格实惠的计划,起价为每月 37.95 美元。
Warzone RAT 怀有恶意,是一个强大的信息窃取者,具有先进的隐形和反分析功能。然而,2024 年 2 月 9 日,在欧洲刑警组织和联合网络犯罪行动特别工作组 (J-CAT) 的支持下,FBI 领导的 国际行动的一部分针对 Warzone RAT 及其运营商开展了一次关键行动。
该行动导致互联网域名被查封,其中包括以销售 Warzone RAT 恶意软件而闻名的http://www.warzone.ws 。此举旨在破坏 RAT 促成的网络犯罪活动,包括未经授权访问受害者系统、击键记录、屏幕截图捕获和未经授权的网络摄像头访问。
此次打击行动还导致两名嫌疑人于 2024 年 2 月 7 日在马耳他和尼日利亚被捕,他们被指控销售恶意软件并协助网络犯罪分子进行恶意活动。尽管采取了这些干预措施,Warzone RAT 的破解版本仍继续在暗网论坛上传播,并辅以教学视频,以促进其部署和指挥与控制 (C2) 管理。
Warzone RAT 参与了众多威胁行为者的活动,其目标是印度国家信息中心 (NIC) 等地缘政治实体,并被“孔子”APT 组织用来攻击中国大陆和南亚国家的政府机构。
发表评论
您还未登录,请先登录。
登录