SOCGHOLISH 恶意软件被用于传播 ASYNCRAT 恶意软件

Huntress 的研究人员观察到了一种名为 SocGholish（又称 FakeUpdates）的 JavaScript 下载器恶意软件，该恶意软件被用于传播远程访问木马 AsyncRAT 以及合法的开源项目 BOINC（Berkeley Open Infrastructure Network Computing Client）。

BOINC 项目是一个“志愿者计算”平台，旨在利用家用计算机进行大规模分布式高吞吐量计算，该项目由加利福尼亚大学维护。

SocGholish 攻击链涉及一个恶意的 JavaScript 文件，该文件会下载更多阶段的恶意软件。在这次攻击活动中，最后阶段是一个无文件 AsyncRAT 变体和一个恶意的 BOINC 安装程序，后者托管在 rzegzwre.top 上，并直接通过 IP 访问 BOINC。PowerShell 加载器被高度混淆，而 BOINC 安装脚本则未被混淆，并包含作者注释。

“BOINC 促进了与远程服务器的连接，该服务器可以收集信息并向主机发送任务以供执行。其目的是利用‘捐赠’的计算机资源来为各种合法的科学项目做出贡献。在这方面，它与加密货币挖矿机类似（利用计算机资源进行工作），并且实际上被设计为向用户奖励一种名为 Gridcoin 的特定类型加密货币，这是为此目的而设计的。” Huntress 发布的报告中写道。“这些恶意的 BOINC 安装程序被配置为不连接到合法的 BOINC 服务器之一，而是连接到如 Rosettahome[.]top 这样的类似服务器。从恶意服务器中，可以收集主机数据，传输文件，并向主机发送并执行任意数量的任务。因此，它基本上可以作为 C2（命令和控制）服务器运作。”威胁行为者使用在感染链中的多个点创建的计划任务来维持持久性。

截至 2024 年 7 月 15 日，有 8,453 个客户端连接到 rosettahome[.]cn，有 1,579 个客户端连接到 rosettahome[.]top。有趣的是，这两台服务器都没有在主机上执行任何任务，这表明没有启动任何 BOINC 通信协议，如任务或计算。

自 2024 年 6 月 26 日以来，BOINC 项目管理员和社区就已经意识到该软件的滥用情况。Huntress 的专家也联系了 BOINC 项目，以告知他们观察到的这些行为并进行追踪。

该报告提供了入侵指标以及 Yara 和 Sigma 规则。

原文始发于微信公众号（黑猫安全）：SOCGHOLISH 恶意软件被用于传播 ASYNCRAT 恶意软件