一场技术高度复杂的网络间谍活动正无差别针对欧洲和中东地区的制造业及政府部门,攻击者利用 “瑞士军刀” 式加载器部署多种远程访问木马(Remote Access Trojan, RAT)。赛博研究与情报实验室(Cyble Research and Intelligence Labs, CRIL)发布的新报告详细披露,威胁行为者通过武器化合法开源库,并借助巧妙的隐写术绕过安全防护。
该活动呈现出 “高度的区域与行业针对性”,主要将目标锁定在意大利、芬兰和沙特阿拉伯的相关组织。
尽管攻击采用多种入口点 —— 从武器化 Office 文档到恶意 SVG 文件 —— 但最终都会汇聚到一个统一的危险节点:“通用商品化加载器”。
这款加载器堪称网络犯罪分子的 “万能适配器”,能够投递多种恶意软件,包括 PureLog Stealer、Katz Stealer、DC Rat、Async Rat 及 Remcos 等。
报告指出:“我们的研究证实,相同的加载器样本和执行模式表明,该活动与多个威胁行为者共享的更广泛基础设施相关联。” 这意味着该加载器可能正在网络犯罪地下市场中作为服务出售或共享。
攻击者煞费苦心地减少取证痕迹,采用了旨在迷惑安全工具的 **“四阶段规避流程”**。该策略的核心是隐写术 —— 将恶意代码隐藏在 Archive.org 等合法平台托管的看似无害的图像文件中。
研究人员解释道:“这些图像包含隐写术嵌入的有效载荷,通过伪装成良性流量,使恶意代码能够绕过基于文件的检测系统。”
图像下载完成后,一段脚本会从图像像素中提取隐藏代码,并直接在系统内存中执行,全程不写入硬盘。
该活动还采用了 “混合汇编” 技术,凸显了攻击团伙的技术实力:攻击者获取合法的开源 TaskScheduler 库,在其中附加恶意函数后重新编译。
通过对可信工具进行木马化改造,恶意软件保留了 “真实的外观和功能”,使得杀毒软件签名极难检测到异常。
报告中最具创新性的发现,或许是一种独特的用户账户控制(UAC)绕过方法——UAC 是指在执行管理员级任务时向用户请求权限的安全提示。
恶意软件并未强行绕过 UAC,而是采取 “等待策略”:持续监控系统的合法进程创建事件,当用户启动可信应用程序时,恶意软件会趁机在同一时刻触发自己的 UAC 提示。
报告指出:“恶意软件监控系统进程创建事件,在合法程序启动时伺机触发 UAC 提示,以常规操作为幌子欺骗系统或用户授予高级权限。”
该活动标志着商品化恶意软件的攻击技术实现了显著升级。攻击者将隐写术的隐蔽性与合法开源工具的可靠性相结合,对工业领域构成了持续性威胁。
CRIL 总结道:“我们的研究发现了一种混合威胁,其攻击技术具有显著的一致性,揭示了一套持久的架构蓝图。” 报告建议目标区域的组织,应对 “看似无害的” 图像文件和电子邮件附件提高警惕、加强审查。
发表评论
您还未登录,请先登录。
登录