攻击花样层出不穷，生成式 AI 也被利用

2023年5月29日11:17:38评论49 views字数 3786阅读12分37秒阅读模式

社会工程学策略始终都是攻击者青睐的手段，趋势科技的研究人员最新发现了两类新兴恶意软件，都在一定程度上使用了社会工程学策略来引诱受害者。Redline Stealer 利用近期大火的生成式人工智能投放恶意广告进行传播，而 CopperStealth 和 CopperPhish 则是通过软件下载站与钓鱼网页进行传播。

以生成式AI为诱饵广告

攻击者在 Google 等搜索引擎中投放了恶意广告，例如在搜索 midjourney 时：

恶意广告

技术分析

用户点击这些广告时，用户的 IP 地址会发送到后端服务器并且提供恶意网页：

跳转恶意网站

部分恶意广告还能过滤机器人的访问，最大限度避免暴露。当发现是机器人或者手动输入 URL 访问的情况，服务器将返回一个非恶意的版本。

非恶意网站

通过 Telegram 与 C&C 服务器进行通信，以避免网络检测。

C&C 通信

执行安装程序（Midjourney-x64.msix）后，将显示一个虚假的安装窗口，后台执行恶意 PowerShell 代码。

虚假窗口

最终会给失陷主机安装 Redline 窃密软件，MSIX 文件会执行名为 frank_obfus.ps1 的混淆 PowerShell 脚本。该脚本会从 openaijobs[.]ru 下载并执行 Redline 窃密软件。

去混淆代码

Redline 将会窃取敏感信息，例如浏览器 Cookie、密码、加密货币钱包与文件信息等。

敏感信息窃取

恶意广告

Water Orthrus 使用新攻击武器

自从 2021 年开始，趋势科技的研究人员一直在跟踪 Water Orthrus 的攻击行动，该攻击者总是通过 PPI（按安装付费）网络来分发 CopperStealer 窃密木马。研究人员认为，Water Orthrus 与 2019 年被披露的 Scranos 有关。

CopperStealth 感染链

2023 年 3 月，研究人员发现两个传播新型恶意软件（CopperStealth 和 CopperPhish）的攻击行动。这两个恶意软件都与 CopperStealer 高度相似，很可能是由同一开发者开发的，研究人员认为这些攻击都是 Water Orthrus 的攻击行动。

CopperPhish 感染链

CopperStealth

最早在 2023 年 3 月 8 日就发现 CopperStealth 通过中国常见的软件共享网站进行传播，恶意软件伪装成免费软件针对中国用户进行攻击。CopperStealth 执行后还会释放并加载 Rootkit，Rootkit 会阻止列入黑名单的注册表项，阻止某些可执行文件和驱动程序的执行。

恶意软件通过流行的中文软件下载网站分发，此前有研究称其提供恶意安装程序感染恶意软件。安装程序中包含多个编码的 URL，程序运行后解码 URL 并下载执行，其中就包括 CopperStealth。

选择驱动代码

CopperStealth 包含一个名为 HelloWorld 的导出函数，该函数在早期版本的 CopperStealer 中就已经存在。Dropper 检查系统架构是 32 位或者 64 位，并对应从资源中读取相应的驱动程序。

资源中的两个驱动程序

创建并启动一个新的驱动程序服务，该服务在系统启动时启动：

创建新驱动服务

Rootkit 被注册为文件系统过滤驱动程序。在 DriverEntry 函数中，驱动程序具有 IRP_MJ_CREATE、IRP_MJ_READ 与 IRP_MJ_SHUTDOWN 的特定处理程序。Rootkit 会更改 HKLMSYSTEMCurrentControlSetServices 注册表中的驱动程序名称并在 HKLMSYSTEMCurrentControlSetControlSessionManager 中插入 PendingFileRenameOperations 注册表值以在重新启动时自动移动文件。

IRP_MJ_READ 会监控文件系统上任何读取文件的尝试，如果检测到列入黑名单的进程（360saf、kingsoft antivirus、360SD、Windows Defender）试图读取 windowstemp 文件夹中的 Rootkit 文件，驱动程序会产生 STATUS_ACCESS_DENIED 消息来阻止访问文件。然后，Rookit 会注册一个注册表回调程序，每次线程在注册表中执行操作时都会调用该程序。程序监控访问 HKLMSYSTEMCurrentControlSetServices 中 Rootkit 注册表路径的尝试，同样会阻止对文件的访问。

列入黑名单的进程（360safe.exe、360sd.exe、QQPCTray.exe 与 kxetray.exe）查询注册表，也会产生 STATUS_ACCESS_DENIED 消息。

阻止注册表访问代码

Rootkit 还设置了镜像加载通知程序，每当新镜像加载到内存中时就会调用该程序。如果镜像名称与硬编码文件名相对应，就会映射一个 DLL 文件并在新创建的进程中运行。64 位版本的 Rootkit 中包含 32 位与 64 位版本的 DLL 文件。

通过注入的 DLL 文件终止进程

注入的 DLL 文件在附加到新创建的进程后，就会调用 ExitProcess 来终止该进程。

DLL 终止进程

如果新加载的进程是驱动程序，Rootkit 会检索黑名单中的字节序列。如果找到，驱动程序的入口点将被篡改以返回 STATUS_ACCESS_DENIED 消息。驱动程序黑名单针对火绒、金山、360 等安全软件。

Rootkit 篡改驱动程序入口点

最后，Rootkit 会将 Payload 注入其他线程。线程枚举所有正在运行的进程并查找 explorer.exe 与另一个具有分配令牌权限、增加配额权限的西城进程。此外还会增加 HKLMSOFTWAREMicrosoftrecount 注册表值，其中包含自失陷后机器重启的次数。如果重启次数大于三，Rookit 解密并解压 DLL 模块中的统计信息。在二进制文件中修复统计信息 URL 地址（以 cnzz_url 为占位符），最后将模块注入 explorer.exe。

统计模块的占位符

成功注入 explorer.exe 后，就会请求任务。一旦驱动程序获取了任务，就会将响应（以 searching_magic_url 为占位符）插入任务模块中。与统计模块类似，任务模块也嵌入在 Rootkit 中。

任务模块的占位符

样本通过访问 hxxp://www.msftconnecttest.com/connecttest.txt 测试网络连接，成功连接后将失陷主机的机器 ID 回传 hxxp://cnzz_url&m=。解密后的任务为 JSON 格式，如下所示：

name：TEMP 目录中创建的文件名
onlyone：只运行一次
exclude360：排除运行 360 的机器
reboot_count：在第 N 次重启时启动
url：下载并执行的 URL

CopperPhish

2023 年 4 月，研究人员发现了另一个传播 CopperPhish 的攻击活动。该攻击并没有地理围栏，而是通过免费匿名文件共享网站背后的 PPI 网络进行传播。受害者在点击伪装成下载链接的广告后，就会被重定向到 PPI 网络下载页面。下载的文件是 PrivateLoader，后续会下载许多不同的恶意软件。