Intezer Labs 最近发现了一次针对香港、台湾等组织的复杂网络攻击活动。
攻击者使用一种名为 PNGPlug 的多阶段加载器来传播臭名昭著的 ValleyRAT 恶意软件。
攻击始于一个网络钓鱼网页,诱骗受害者下载伪装成合法软件的恶意 Microsoft 安装程序 (MSI) 包。
除此之外,安全分析师还发现,MSI 包在执行时会执行两项关键任务:
-
部署良性应用程序来维持合法性的假象。
-
提取包含恶意软件负载的加密档案。
技术分析
MSI 包利用 Windows Installer 的 CustomAction 功能执行恶意代码,其中包括使用硬编码密码解密档案的DLL 。
此过程提取核心恶意软件组件,包括一个加载器(libcef.dll)和两个包含编码恶意负载的 PNG 文件。
PNGPlug 加载器是此次攻击的关键组件,它通过多种复杂的技术为恶意软件执行设置环境。
它修补 ntdll.dll 以启用内存注入并执行防病毒检测,特别是检查 360 Total Security 是否存在。
如果不存在安全软件,加载程序会将 PNG 文件的内容注入新创建的进程中,从而执行 ValleyRAT 恶意软件。
ValleyRAT 归因于 Silver Fox APT 组织,是一种多阶段恶意软件,采用了 shellcode 执行、混淆、权限提升和持久机制等先进技术。
它可以监控用户活动、提供插件并可能安装额外的有效载荷。
这次活动尤其引人注目的是,它独特地关注不同地区的汉语受害者,尽管他们的政治立场不同,但将他们视为统一的目标。
攻击者使用合法软件作为恶意软件的传送机制以及 PNGPlug 加载程序的适应性进一步凸显了这种威胁的复杂性。
该活动还暴露了目标组织中潜在的运营差距,特别是一些较大的公司对员工工具的投资不足。
这种疏忽往往迫使员工依赖免费软件,无意中增加了他们受到此类恶意活动攻击的可能性。
建议各组织实施强有力的网络安全措施,包括对员工进行网络钓鱼策略教育、定期更新软件以及使用先进的威胁检测工具来减轻此类复杂的网络威胁带来的风险。
参考:
https://cybersecuritynews.com/xeno-rat-windows-dll-evasion/
https://cybersecuritynews.com/jokerspy-macos-malware/
原文始发于微信公众号(Ots安全):黑客利用 MSI 包和 PNG 文件来传播多阶段恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论