黑客组织利用SocGholish框架发动新一轮攻击活动

黑客组织最早在2020年左右就开始使用SocGholish框架发起攻击活动，该框架模拟多个浏览器(Chrome、FireFox)更新、Flash Player更新等网站，通过钓鱼、水坑、社会工程技术等攻击手法诱骗受害者访问网站，并点击下载更新脚本，安装各种恶意软件。

近日，笔者捕获到黑客组织利用SocGholish框架进行新一轮攻击活动，并对该攻击活动进行了详细分析。

攻击流程图，如下所示：

1.虚假Chrome网站内嵌恶意JS脚本代码，如下所示：

2.提示受害者需要下载更新Chrome程序，点击下载之后，会下载相应的恶意脚本，如下所示：

3.解压之后，如下所示：

4.恶意JS脚本会从远程服务器下载恶意代码，如下所示：

5.通过上面的URL从远程服务器下载另外一个JS恶意脚本，如下所示：

6.下载的Chrome更新脚本通过增加大量的注释来混淆恶意代码，如下所示：

7.去混淆之后，该恶意脚本通过URL从远程服务器下载一个BAT脚本，如下所示：

8.下载的恶意BAT脚本，会生成并调用其他三个BAT恶意脚本，如下所示：

9.生成的三个恶意文件，如下所示：

10.三个恶意脚本会下载其他程序，下载的程序，如下所示：

11.调用恶意脚本，利用下载的解压工具解压恶意程序，如下所示：

12.解压的恶意程序是一款商用的RAT远控NetSupport Manager，拥有正常的数字签名，如下所示：

13.同时将该商业RAT远控设置为开机自启动，如下所示：

14.RAT远控配置文件服务器IP地址和端口为94.158.247.23:5050，如下所示：

到此，该攻击活动分析完毕，此攻击活动不仅用于安装商业远控木马进行APT攻击活动，也可用于勒索病毒黑客组织进行定向勒索攻击活动，还可用于一些供应链攻击场景，需要提高警惕，持续保持关注。

黑客组织利用各种恶意软件进行的各种攻击活动已经无处不在，防不胜防，很多系统可能已经被感染了各种恶意软件，全球各地每天都在发生各种恶意软件攻击活动，这些攻击活动主要包含：勒索攻击、APT窃密攻击等，笔者最近几年专注于针对勒索病毒黑客组织、APT定向攻击黑客组织、以及各种黑灰产黑客组织进行跟踪分析和研究，发现这些组织一直在持续更新自己的攻击样本以及攻击技术，不断有企业被攻击，这些黑客组织从来没有停止过攻击活动，而且非常活跃，持续不断地更新攻击样本，采用新的攻击技术。

笔者在此前的文章中已经多次提到，安全是一个过程，而不是一个结果，安全没有结果，这就是安全行业与IT行业里面其他都不相同的一个特点，攻与防双方都在不断提升自己的安全能力，安全的核心就是人与人的对抗，人与人之间就是安全技术的对抗，例如今天你解决了这个安全问题，明天黑客就会使用新的攻击手法，你又得去解决新出现的问题，今天你能杀掉这类攻击样本，明天黑客就会改进自己的攻击样本，所以安全就是一个持续不断、对抗不断升级的过程，这就是安全行业的特点。

基于上面这个特点，所以浮燥的人很难在安全行业里面长久生存下去，能够在安全行业做十几年，几十年的都是那些真正热爱安全，不断保持学习，不断进步，持续积累的人，这就是做安全需要付出的代价，安全就是一条“不归路”，只有你真的热爱安全行业，喜欢研究安全技术，并乐于花时间研究各种真实的黑客组织的攻击活动和攻击技术，脚踏实地，持续深入的学习和研究，不断提升自己的专业能力，未来才能在这个行业长久走下去，笔者前几天看了一篇文章，里面的一段话：

和其他的IT技术不一样，网络安全无论攻防两端，都是一个高速动态发展、持续提高的过程，“防得了一时，防不了一世”。没有绝对的安全，也没有永远的安全，只有相对暂时的安全。网络安全面对的是全世界智商最高的犯罪分子，我们不能低估我们的对手，也不能高估自己的能力。因此，网络安全是一个持续进化的旅程，而不是一个持续稳定的结果。

这个作者与笔者的观念基本一致，未来黑客会研究和采用更高级的攻击手法，使用更高级的攻击样本和攻击技术，会开发更为复杂的恶意软件，会使用更隐藏的免杀植入方式，会挖掘更多新的安全漏洞，安全对抗没有终点，如果想在安全行业走的更远，就踏踏实实不断提升自己的能力，黑客组织都在进步，安全从业人员更需要持续不断的进步，才能抵御未来各种网络安全攻击，而且未来高端的安全对抗会越来越激烈，安全厂商和安全研究人员需要持续不断的提升自己的安全能力。

笔者一直从事与恶意软件威胁情报APT等相关安全分析与研究工作，包含挖矿、勒索、远控后门、僵尸网络、加载器、APT攻击样本、CS木马、Rootkit后门木马等，涉及到多种不同的平台(Windows/Linux/Mac/Android/iOS)，通过跟踪分析和研究全球范围内最新的各种真实的安全攻击事件、攻击样本、漏洞利用和攻击技巧等，可以实时跟踪全球黑客组织最新的攻击技术和攻击趋势，做到知已知彼，方能百战不殆。

各位读者朋友如果有遇到什么新型恶意软件家族样本、最新的家族变种以及各种高端的攻击样本都可以私信发给笔者，提供的样本越高端越好，提供的攻击事件线索越新越好，感谢给笔者提供样本的朋友们！

做安全，不忘初心，与时俱进，方得始终！

安全分析与研究，专注于全球恶意软件的分析与研究，追踪全球黑客组织攻击活动，欢迎大家关注。