研究人员发现了利用高级规避技术部署 Remcos RAT 的新型网络钓鱼活动

Fortinet 的 FortiGuard 实验室发现了利用 Remcos RAT（远程管理工具）新变种的复杂网络钓鱼活动。该活动以一封包含恶意 Excel 文档的钓鱼电子邮件开始，该文档利用了 CVE-2017-0199 漏洞，允许攻击者在受害者的设备上远程执行代码。Fortinet 的报告指出：”Remcos 是一种商用 RAT……

然而，威胁行为者滥用 Remcos 收集受害者的敏感信息，并远程控制他们的计算机以实施进一步的恶意行为。一旦打开所附的 Excel 文件，CVE-2017-0199 漏洞就会激活，悄无声息地下载一个 HTA（HTML 应用程序）文件。“HTA文件是一个由Windows本地应用程序（mshta.exe）执行的HTML应用程序文件，”Fortinet的报告详细指出，该文件随后会下载一个名为dllhost.exe的文件到受害者的设备上。该文件用多种语言启动一系列脚本，包括 JavaScript、VBScript 和 PowerShell，以隐藏恶意代码并逃避检测。

一旦 dllhost.exe 被执行，它就会启动进程空洞化，这是一种将恶意代码注入新创建的进程 Vaccinerende.exe 的技术。该进程会隐藏代码，使其无法被标准监控工具发现。据 Fortinet 称，“恶意代码执行进程空洞化，将自己放入一个新创建的 Vaccinerende.exe 进程中”–这种技术增强了攻击的隐蔽性。为了保持持久性，恶意软件在 Windows 注册表中创建了一个自动运行条目，使其即使在系统重新启动后也能重新激活。设置完成后，恶意软件会解密并完全在内存中运行 Remcos 有效载荷，从而避免了可能引起怀疑的传统文件存储方式。然后，Remcos RAT 会连接到一个命令与控制（C2）服务器，发送有关受害者系统的数据，如 Fortinet 所描述的 “处理器信息、内存状态、用户权限级别以及 C&C 服务器的 IP 地址”。