Fortinet FortiGuard实验室最近发现了一次网络钓鱼活动,用于传播Remcos RAT的新变种。Remcos是一种商业远程管理工具(RAT),在线出售,以便允许买方远程控制计算机。威胁行为者使用Remcos来窃取敏感信息和控制受害者的计算机,以进行恶意活动。钓鱼消息包含一个伪装为订单文件的恶意Excel文档,以欺骗接收者打开文档。在打开文件后,CVE-2017-0199漏洞被利用。
自2017年以来,威胁行为者利用武器化的富文本文件(RTF),通过利用Office对象链接与嵌入(OLE)接口中的漏洞来传播恶意软件,例如DRIDEX银行木马。
一旦利用CVE-2017-0199漏洞,它就会下载一个HTA文件并在接收者的设备上执行它。在此次攻击中,MS Excel程序访问一个缩短的URL,该URL重定向到特定的IP地址,下载一个HTA(HTML应用程序)文件。这个文件通过Excel的DCOM组件由Windows应用程序mshta.exe执行,从而启动攻击链。研究人员注意到,HTA文件使用不同的脚本语言和编码方法(包括JavaScript、VBScript、Base64编码、URL编码和PowerShell)进行了多层包装,以试图逃避检测。由mshta.exe执行的下载的HTA文件运行PowerShell代码,将恶意EXE文件dllhost.exe下载到受害者的设备上。一旦执行,dllhost.exe会将文件提取到%AppData%文件夹,然后运行PowerShell加载并执行隐藏的恶意代码。此PowerShell脚本读取并执行从提取的文件Aerognosy.Res中提取的内容,从而调用进一步的命令。混淆的PowerShell代码随后将dllhost.exe复制到%temp%、将其重命名为Vaccinerende.exe、隐藏PowerShell进程、在内存中加载恶意代码,并使用VirtualAlloc()和CallWindowProcA()等API调用运行它。
Fortinet发布的分析报告中写道:“恶意代码执行进程空洞化,将自身放入新创建的Vaccinerende.exe进程(从dllhost.exe复制)。为此,它调用API CreateProcessInternalW(),其CreatFlags为CREATE_SUSPENDED (0x4),这将在创建新进程后将其挂起。然后,它调用一些相关的API将所有恶意代码传输到新进程并运行它。”恶意代码使用进程空洞化技术秘密下载并执行最终有效载荷——Remcos RAT,从而使攻击者能够远程控制受感染的系统。恶意代码通过向系统注册表添加新的自动运行项来保持持久性。恶意代码从远程服务器下载加密的Remcos RAT文件,使用InternetOpenA()、InternetOpenUrlA()和InternetReadFile()等API来促进下载。解密后,它将Remcos RAT的无文件版本直接加载到当前进程(Vaccinerende.exe)的内存中。然后,通过调用未公开的API NtCreateThreadEx()在新线程上激活RAT,使其能够秘密运行,而不会在磁盘上留下痕迹。
Remcos RAT允许操作者从受感染的设备收集多种数据,包括系统元数据,并执行远程命令。该恶意软件支持多个命令来执行恶意活动,例如文件收集、进程和服务管理、注册表编辑、脚本执行、剪贴板捕获、更改桌面、激活摄像头和麦克风、下载更多有效载荷、屏幕录制以及禁用键盘或鼠标输入。
Fortinet的报告还包括了该活动的感知指标(IoCs)。
原文始发于微信公众号(黑猫安全):一种新型的无文件变种Remcos RAT被发现在野外活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论