![]()
俄罗斯医疗和 IT 行业正遭遇新一轮钓鱼攻击,幕后黑手被认定为行踪诡秘的 “彩虹鬣狗”(Rainbow Hyena)威胁团伙。据 BI.ZONE 威胁情报团队透露,该团伙部署了一款此前未被记录的后门程序PhantomRemote,展现出较高的技术成熟度和不断升级的攻击策略。
攻击者利用合法机构的 compromised 电子邮件账户发送邮件,主题包括:
- 《运输单 TTN 第 391-44 号(2025 年 6 月 26 日)》
- 《合同 RN83-371》
每封邮件均附带一个 “多语言” ZIP 附件,表面看似合法压缩包,实则包含 PE32 + 格式的 DLL 文件,内部还藏有一个.LNK 文件,用于启动隐蔽的感染链。
该.LNK 文件的设计功能包括:
- 在用户目录中搜索上述 “多语言” ZIP 文件
- 通过 rundll32.exe 执行嵌入的 DLL 文件
- 将诱饵文档解压至 TEMP 文件夹以降低用户怀疑
- 通过隐蔽的 PowerShell 命令打开诱饵文件
BI.ZONE 解释道:“这些邮件包含‘多语言’ZIP 附件…… 其中隐藏了一个诱饵文档和一个含.LNK 文件的 ZIP 压缩包。”
从.LNK 文件中的一个示例命令可见,此次攻击链嵌入极深且经过混淆处理,融合了 PowerShell、ZIP 解压和 DLL 注入等多种技术。
BI.ZONE 最重要的发现是一个全新的恶意软件家族 ——PhantomRemote,这是一款用 C++ 编写的 PE32 + 格式 DLL 文件。
PhantomRemote 一旦执行,会进行以下操作:
-
收集系统元数据,包括 GUID、计算机名和域名
- 在 % PROGRAMDATA% 目录下创建隐藏工作目录,如 “YandexCloud” 或 “MicrosoftAppStore”
-
与命令控制(C2)服务器建立通信,服务器地址为 http://91.239.148 [.] 21/poll?id=&hostname=&domain=
- 通过 cmd.exe 执行命令、下载文件,并通过 HTTP POST 请求发送结果
值得注意的是,其通信流量使用 “YandexCloud/1.0”“MicrosoftAppStore/2001.0” 等自定义 User-Agent 头部,以伪装成合法软件流量。
PhantomRemote至少支持两种命令类型:
-
cmd:<命令>:执行系统命令并捕获输出结果
-
download:<URL>:从指定 URL 获取文件并存储至工作目录
执行命令后,PhantomRemote 会等待 10 秒;若命令执行失败,则等待 1 秒。这一机制表明其具备基础但有效的延迟控制功能。
报告指出:“该后门程序收集受 compromise 系统的信息,从命令控制服务器加载其他可执行文件,并通过 cmd.exe 解释器运行命令。”
BI.ZONE 提到,“彩虹鬣狗” 最初被认为是一个黑客激进组织,如今已逐渐转向间谍活动和以经济利益为目的的网络犯罪。
报告总结道:“黑客激进组织正越来越多地转向间谍活动、敛财等更常规的非法活动,同时采用更复杂的方法和工具。”
发表评论
您还未登录,请先登录。
登录