标签 远程访问木马 下的文章

一场针对阿根廷司法系统的高精准鱼叉式钓鱼攻击已悄然出现,攻击者利用人们对合法法院通信的信任,投放危险的远程访问木马(RAT)。
该攻击活动使用看似真实的联邦法院预防性羁押复审文件,诱使法律专业人士下载恶意软件。
安全专家已将此次攻击归类为高度定向攻击,它采用多阶段感染技术,旨在长期获取敏感法律与机构系统的访问权限。
攻击始于收件人收到包含 ZIP 压缩包的邮件,该压缩包伪装成官方司法通知。
压缩包内,攻击者植入了一个伪装成 PDF 的恶意 Windows 快捷方式文件(LNK),同时包含一个批处理脚本加载器和一份看似真实的法院裁决文件。
当受害者点击看似标准的 PDF 文件时,恶意执行链随即启动,同时会显示一份极具迷惑性的诱饵文档以避免引起怀疑。这种社会工程学手法让该攻击在日常处理法院文件的司法人员中格外有效
Seqrite 的分析人员发现了这一攻击活动,并揭露了其复杂的多阶段传播机制。
研究团队发现,该恶意软件专门针对阿根廷法律行业,包括司法机构、法律专业人士以及与司法系统相关的政府部门。
诱饵文档以极高的精度模仿阿根廷联邦法院的真实裁决文件,使用正式的法律西班牙语、规范的案件编号、司法签名,并引用真实机构(如刑事与矫正口头法庭)。
这种高度的细节还原大幅提升了攻击在目标受害者中的成功率

感染机制:从快捷方式到远程访问木马(RAT)的部署

该攻击采用三阶段感染流程,旨在规避检测。恶意 LNK 文件会以隐藏模式启动 PowerShell,绕过执行策略以运行批处理脚本,该脚本连接到托管在 GitHub 上的基础设施。
此脚本会下载第二阶段载荷,该载荷伪装成 “msedge_proxy.exe”,存储在 Microsoft Edge 用户数据目录中以显得合法。
最终载荷是一个基于 Rust 语言开发的远程访问木马(RAT),具备强大的反分析能力。
该 RAT 在执行前会进行全面的环境检查,扫描虚拟机、沙箱和调试工具。如果检测到分析工具,恶意软件会立即终止运行以避免被调查。
一旦成功运行,它会建立加密的命令与控制通信,为攻击者提供包括文件窃取、持久化安装、凭证窃取,甚至通过模块化 DLL 组件部署勒索软件等多种功能。

一场针对阿根廷司法系统的高精准鱼叉式钓鱼攻击已悄然出现,攻击者利用人们对合法法院通信的信任,投放危险的远程访问木马(RAT)。
该攻击活动使用看似真实的联邦法院预防性羁押复审文件,诱使法律专业人士下载恶意软件。
安全专家已将此次攻击归类为高度定向攻击,它采用多阶段感染技术,旨在长期获取敏感法律与机构系统的访问权限。
攻击始于收件人收到包含 ZIP 压缩包的邮件,该压缩包伪装成官方司法通知。
压缩包内,攻击者植入了一个伪装成 PDF 的恶意 Windows 快捷方式文件(LNK),同时包含一个批处理脚本加载器和一份看似真实的法院裁决文件。
当受害者点击看似标准的 PDF 文件时,恶意执行链随即启动,同时会显示一份极具迷惑性的诱饵文档以避免引起怀疑。这种社会工程学手法让该攻击在日常处理法院文件的司法人员中格外有效
Seqrite 的分析人员发现了这一攻击活动,并揭露了其复杂的多阶段传播机制。
研究团队发现,该恶意软件专门针对阿根廷法律行业,包括司法机构、法律专业人士以及与司法系统相关的政府部门。
诱饵文档以极高的精度模仿阿根廷联邦法院的真实裁决文件,使用正式的法律西班牙语、规范的案件编号、司法签名,并引用真实机构(如刑事与矫正口头法庭)。
这种高度的细节还原大幅提升了攻击在目标受害者中的成功率

感染机制:从快捷方式到远程访问木马(RAT)的部署

该攻击采用三阶段感染流程,旨在规避检测。恶意 LNK 文件会以隐藏模式启动 PowerShell,绕过执行策略以运行批处理脚本,该脚本连接到托管在 GitHub 上的基础设施。
此脚本会下载第二阶段载荷,该载荷伪装成 “msedge_proxy.exe”,存储在 Microsoft Edge 用户数据目录中以显得合法。
最终载荷是一个基于 Rust 语言开发的远程访问木马(RAT),具备强大的反分析能力。
该 RAT 在执行前会进行全面的环境检查,扫描虚拟机、沙箱和调试工具。如果检测到分析工具,恶意软件会立即终止运行以避免被调查。
一旦成功运行,它会建立加密的命令与控制通信,为攻击者提供包括文件窃取、持久化安装、凭证窃取,甚至通过模块化 DLL 组件部署勒索软件等多种功能。

新一轮网络攻击正借助ValleyRAT_S2 恶意软件悄然入侵各类组织机构,该病毒可实现长期潜伏,并窃取目标机构的敏感金融数据。
ValleyRAT_S2 是 ValleyRAT 恶意软件家族的第二阶段载荷,基于 C++ 语言开发。一旦侵入目标网络,它就会以完整远程访问木马(RAT)的形态运行,让攻击者获得对受感染系统的高度控制权,同时搭建起稳定的数据外传通道。
当前,该攻击活动的主要传播途径为伪造的中文办公软件、破解版程序,以及伪装成人工智能表格生成工具的植马安装包。
在诸多攻击案例中,恶意软件会通过DLL 侧载技术实现植入:攻击者诱导一个带有合法数字签名的应用程序,加载看似正常的恶意动态链接库文件,例如命名为steam_api64.dll的恶意模块。

网络安全团队 APOPHiS 通过追踪多起相关攻击事件,确认ValleyRAT_S2 是此类入侵活动的核心第二阶段后门程序

除此之外,该恶意软件还会通过鱼叉式钓鱼邮件附件,以及被劫持的软件更新渠道进行传播。

恶意文档或压缩包会将载荷文件释放至系统临时文件夹等路径,例如:

C:\Users\Admin\AppData\Local\Temp\AI自动化办公表格制作生成工具安装包\steam_api64.dll

攻击的第一阶段以躲避安全检测为核心目标,而 ValleyRAT_S2 则会接管后续操作,负责长期驻留控制、系统信息探查、凭证窃取及金融数据收集等关键任务。

ValleyRAT_S2 激活后,会对系统进程、文件系统及注册表项展开扫描,随后通过自定义 TCP 协议,连接预先写入代码的命令与控制(C&C)服务器,例如27.124.3.175:14852。该病毒具备文件上传下载、执行 Shell 命令、注入恶意载荷、记录键盘输入等多种功能,

这些特性使其能够精准窃取网银账户凭证、支付交易数据及内部财务文档。

持久化机制与监控守护功能

ValleyRAT_S2 的一大高危特性,是其多层级持久化设计与监控守护机制,这让它能够在系统重启或手动清理后依然存活。

恶意软件会先将相关文件释放到用户的临时文件夹(Temp)和应用数据文件夹(AppData)中,创建%TEMP%\target.pid这类进程标识文件,同时在%APPDATA%\Promotions\Temp.aps路径下生成配置文件。

它还会利用 COM 接口调用 Windows 任务计划程序,实现开机自启动;同时会在注册表启动项中写入备份路径,作为双重保障。

该病毒的一个关键特征是会生成一个名为monitor.bat的批处理脚本,以此构建监控守护循环。

这个脚本会从target.pid文件中读取恶意主程序的进程 ID,持续检查主程序是否处于运行状态,一旦发现主程序被终止,就会自动静默重启。

以下是该脚本的简化版本:
@echo off
set "PIDFile=%TEMP%\target.pid"
set /p pid=<"%PIDFile%"
del "%PIDFile%"
:check
tasklist /fi "PID eq %pid%" | findstr >nul
if errorlevel 1 (
  cscript //nologo "%TEMP%\watch.vbs"
  exit
)
timeout /t 15 >nul
goto check
这一守护循环,能让 ValleyRAT_S2 在主进程被安全工具或管理员终止后快速恢复。此外,该恶意软件还结合了结构化异常处理、沙箱环境检测,以及进程注入技术 —— 将自身注入Telegra.exeWhatsApp.exe等具有可信名称的进程中,以此实现隐蔽且稳固的持久化驻留。
对于防御方而言,这意味着单纯终止恶意进程无法实现彻底清除;想要根除该病毒,必须同时针对计划任务、批处理与 VBS 监控脚本、释放的恶意文件及后门进程等所有相关组件,开展一体化清除操作。

被称为泥水坑(MuddyWater) 的伊朗威胁行为体,近期针对中东地区的外交、海事、金融以及电信领域机构发起鱼叉式钓鱼攻击活动,所使用的攻击载荷是一款基于 Rust 语言开发的植入程序,代号为锈水(RustyWater)
“该攻击活动通过图标欺骗和恶意 Word 文档来投递这款 Rust 植入程序,此程序具备异步命令与控制(C2)、反分析、注册表持久化,以及模块化的入侵后功能扩展能力。” 云安实验室(CloudSEK)研究员普拉杰沃尔・阿瓦斯蒂(Prajwal Awasthi)在本周发布的一份报告中指出。
这一最新动向,体现出泥水坑组织攻击手段的持续演变:该组织已逐步减少对合法远程访问软件的依赖,不再将其作为入侵后工具,转而构建起多样化的定制恶意软件武器库,其中包含 “凤凰(Phoenix)”“UDP 匪徒(UDPGangster)”“虫眠(BugSleep,又称泥腐木马)” 以及 “泥蝰(MuddyViper)” 等多款工具。
该黑客组织还有多个追踪代号,包括芒果沙暴(Mango Sandstorm)静态小猫(Static Kitten)TA450 ,经研判隶属于伊朗情报与安全部(MOIS),其活跃历史至少可追溯至 2017 年。
锈水木马的攻击链流程十分明确:攻击者发送伪装成网络安全指南的鱼叉式钓鱼邮件,邮件附件为一个 Microsoft Word 文档。受害者打开文档后,会被诱导点击 “启用内容”,这一操作会触发恶意 VBA 宏的执行,进而完成 Rust 植入程序二进制文件的部署。
这款植入程序也被称作射手远程访问木马(Archer RAT)RUSTRIC ,其功能包括:收集受害主机信息、检测已安装的安全软件、通过写入 Windows 注册表项实现持久化驻留,同时与命令与控制(C2)服务器(域名:nomercys.it [.] com)建立连接,以此支持文件操作与命令执行等后续攻击行为。
需要重点关注的是,上月末赛科特实验室(Seqrite Labs)曾通报过RUSTRIC 的相关攻击活动:该恶意程序被用于针对以色列的信息技术(IT)企业、托管服务提供商(MSP)、人力资源公司以及软件开发企业发起攻击。赛科特实验室已将该攻击活动标记为UNG0801图标猫行动(Operation IconCat) ,并持续开展追踪分析。
“从历史来看,泥水坑组织在初始访问和入侵后操作阶段,一直依赖 PowerShell 和 VBS 加载器。” 云安实验室表示,“而这款 Rust 植入程序的推出,标志着其工具链迎来显著升级,朝着架构更规整、模块化程度更高、隐蔽性更强的远程访问木马(RAT) 能力方向发展。”

臭名昭著的高级持续性威胁(APT)组织泥水坑(MuddyWater) 完成了武器库的全面升级,摒弃传统脚本工具,转而采用一款专为规避检测而设计的精密新型恶意程序。云安实验室(CloudSEK)旗下 TRIAD 研究团队发布的一份新报告显示,该组织发起了一场定向鱼叉式钓鱼攻击,针对中东核心关键行业展开渗透,所使用的恶意软件变种为首次发现,代号 **“锈水(RustyWater)”**。
此次攻击精准锁定 **“外交、海事、金融及电信领域机构”**,与该组织既往的攻击模式相比,呈现出显著的转向特征。
长期以来,被认为与伊朗相关势力存在关联的泥水坑组织,一直依赖 **“PowerShell 和 VBS 脚本加载器”** 实现对受害网络的初始访问。而此次最新攻击行动则标志着其战略转型 —— 朝着打造更强抗打击能力、更高隐蔽性的恶意程序方向演进。
报告指出:“这款基于 Rust 语言开发的植入程序的推出,标志着该组织的工具链迎来显著升级,朝着架构更规整、模块化程度更高、隐蔽性更强的远程访问木马(RAT) 能力方向发展。”
攻击者选择 Rust 编程语言开发恶意程序,主要获得两大核心优势:一是跨平台兼容性;更关键的一点在于,能够大幅降低被现代终端防护系统检测到的概率 —— 这类防护系统通常针对该组织此前使用的脚本攻击手段设置了特征检测规则。
该攻击的感染流程始于一种经典却极具杀伤力的鱼叉式钓鱼手段:受害者会收到包含恶意 Word 文档的邮件,这些文档往往被伪装成官方沟通文件。监测到的其中一个钓鱼诱饵邮件,主题为 **《新版网络安全防护指南》**。
完整的攻击链步骤清晰且环环相扣:
  1. 恶意钓鱼邮件:受害者收到钓鱼诱饵邮件。
  2. 恶意宏代码:打开附件文档后触发恶意代码执行。
  3. 投放程序:一个中间可执行文件(例如以Cybersecurity.doc为载体,进而从nomercys.it.com下载恶意载荷)完成攻击铺垫。
  4. 植入程序部署:锈水木马植入程序被成功投放,该程序具备异步命令与控制(C2)、反分析、注册表持久化,以及模块化的入侵后功能扩展能力。
尽管此前已有关于 “射手远程访问木马(Archer RAT)” 或 “RUSTRIC” 等 Rust 语言恶意工具的零星报道,但云安实验室分析师强调,此次发现的这款变种具有独特性
研究人员指出:“为避免命名冲突,同时确保表述清晰,本报告中将该恶意软件变种统一称为锈水(RustyWater)。”
随着泥水坑组织持续推进其工具库的现代化升级,相关机构提醒,被攻击目标区域的各类组织需突破传统入侵指标的检测局限,及时更新防护策略,重点加强对编译型恶意软件威胁的防御能力。

新一轮网络攻击正借助ValleyRAT_S2 恶意软件悄然入侵各类组织机构,该病毒可实现长期潜伏,并窃取目标机构的敏感金融数据。
ValleyRAT_S2 是 ValleyRAT 恶意软件家族的第二阶段载荷,基于 C++ 语言开发。一旦侵入目标网络,它就会以完整远程访问木马(RAT)的形态运行,让攻击者获得对受感染系统的高度控制权,同时搭建起稳定的数据外传通道。
当前,该攻击活动的主要传播途径为伪造的中文办公软件、破解版程序,以及伪装成人工智能表格生成工具的植马安装包。
在诸多攻击案例中,恶意软件会通过DLL 侧载技术实现植入:攻击者诱导一个带有合法数字签名的应用程序,加载看似正常的恶意动态链接库文件,例如命名为steam_api64.dll的恶意模块。

网络安全团队 APOPHiS 通过追踪多起相关攻击事件,确认ValleyRAT_S2 是此类入侵活动的核心第二阶段后门程序

除此之外,该恶意软件还会通过鱼叉式钓鱼邮件附件,以及被劫持的软件更新渠道进行传播。

恶意文档或压缩包会将载荷文件释放至系统临时文件夹等路径,例如:

C:\Users\Admin\AppData\Local\Temp\AI自动化办公表格制作生成工具安装包\steam_api64.dll

攻击的第一阶段以躲避安全检测为核心目标,而 ValleyRAT_S2 则会接管后续操作,负责长期驻留控制、系统信息探查、凭证窃取及金融数据收集等关键任务。

ValleyRAT_S2 激活后,会对系统进程、文件系统及注册表项展开扫描,随后通过自定义 TCP 协议,连接预先写入代码的命令与控制(C&C)服务器,例如27.124.3.175:14852。该病毒具备文件上传下载、执行 Shell 命令、注入恶意载荷、记录键盘输入等多种功能,

这些特性使其能够精准窃取网银账户凭证、支付交易数据及内部财务文档。

持久化机制与监控守护功能

ValleyRAT_S2 的一大高危特性,是其多层级持久化设计与监控守护机制,这让它能够在系统重启或手动清理后依然存活。

恶意软件会先将相关文件释放到用户的临时文件夹(Temp)和应用数据文件夹(AppData)中,创建%TEMP%\target.pid这类进程标识文件,同时在%APPDATA%\Promotions\Temp.aps路径下生成配置文件。

它还会利用 COM 接口调用 Windows 任务计划程序,实现开机自启动;同时会在注册表启动项中写入备份路径,作为双重保障。

该病毒的一个关键特征是会生成一个名为monitor.bat的批处理脚本,以此构建监控守护循环。

这个脚本会从target.pid文件中读取恶意主程序的进程 ID,持续检查主程序是否处于运行状态,一旦发现主程序被终止,就会自动静默重启。

以下是该脚本的简化版本:
@echo off
set "PIDFile=%TEMP%\target.pid"
set /p pid=<"%PIDFile%"
del "%PIDFile%"
:check
tasklist /fi "PID eq %pid%" | findstr >nul
if errorlevel 1 (
  cscript //nologo "%TEMP%\watch.vbs"
  exit
)
timeout /t 15 >nul
goto check
这一守护循环,能让 ValleyRAT_S2 在主进程被安全工具或管理员终止后快速恢复。此外,该恶意软件还结合了结构化异常处理、沙箱环境检测,以及进程注入技术 —— 将自身注入Telegra.exeWhatsApp.exe等具有可信名称的进程中,以此实现隐蔽且稳固的持久化驻留。
对于防御方而言,这意味着单纯终止恶意进程无法实现彻底清除;想要根除该病毒,必须同时针对计划任务、批处理与 VBS 监控脚本、释放的恶意文件及后门进程等所有相关组件,开展一体化清除操作。