网络安全研究人员披露了一项名为SHADOW#REACTOR的新活动细节,该活动采用规避性多阶段攻击链,投递一款名为Remcos RAT的商业远程管理工具,并建立持久、隐蔽的远程访问。

"这些片段被重构成编码的加载器,由受.NET Reactor保护的组件在内存中解码,并用于获取和应用远程Remcos配置。最终阶段利用MSBuild.exe作为无文件落地二进制(LOLBin)完成执行,此后Remcos RAT后门完全部署并控制受入侵系统。"

该活动被评估为广泛且机会主义,主要针对企业及中小型商业环境。其工具和技术手法与典型的初始访问经纪人相符——这些人获取目标环境的立足点后,将其转售给其他攻击者以牟利。但尚无证据表明其与已知威胁组织有关联。

本次活动最不寻常之处在于依赖纯文本中间阶段加载器,结合使用PowerShell进行内存重构以及受.NET Reactor保护的反加载器,以解包后续攻击阶段,旨在增加检测与分析难度。

感染流程始于检索并执行混淆的Visual Basic脚本("win64.vbs"),该脚本很可能通过用户交互(例如点击社会工程诱饵中的链接)触发。该脚本通过"wscript.exe"运行,充当Base64编码PowerShell载荷的轻量级启动器。

随后,PowerShell脚本使用System.Net.WebClient与获取VBS文件的同一服务器通信,并在机器的%TEMP%目录中投放名为"qpwoe64.txt"的文本载荷(32位系统则为"qpwoe32.txt")。

"该机制确保不完整或损坏的载荷片段不会立即中断执行,强化了活动的自我修复设计。"

若文本文件符合相关条件,则会在%TEMP%目录中构建第二个次级PowerShell脚本("jdywa.ps1"),该脚本调用.NET Reactor加载器来建立持久性、检索下一阶段恶意软件,并加入多种反调试和反虚拟机检查以规避检测。

加载器最终通过合法的Microsoft Windows进程"MSBuild.exe"在受入侵主机上启动Remcos RAT恶意软件。攻击过程中还会投放执行包装脚本,用于通过"wscript.exe"重新触发"win64.vbs"的执行。

研究人员指出:"这些行为共同表明,该活动采用积极维护的模块化加载器框架,旨在保持Remcos载荷的可移植性、恢复能力和静态分类难度。纯文本中间件、内存.NET Reactor加载器与LOLBin滥用的结合,反映出其有意对抗杀毒软件特征码、沙箱分析和快速分析师分诊的策略。"

觉得这篇文章有趣?请通过Google News、Twitter和LinkedIn关注我们,阅读更多独家内容。

标签: 多阶段攻击, Remcos RAT, Windows攻击, 恶意软件活动, .NET Reactor

添加新评论