黑客利用 MSI 包和 PNG 文件来传播多阶段恶意软件

admin 2025年1月22日14:11:05评论36 views字数 980阅读3分16秒阅读模式

黑客利用 MSI 包和 PNG 文件来传播多阶段恶意软件

黑客利用 MSI 包和 PNG 文件来传播多阶段恶意软件

Intezer Labs 最近发现了一次针对香港、台湾等组织的复杂网络攻击活动。

攻击者使用一种名为 PNGPlug 的多阶段加载器来传播臭名昭著的 ValleyRAT 恶意软件。

攻击始于一个网络钓鱼网页,诱骗受害者下载伪装成合法软件的恶意 Microsoft 安装程序 (MSI) 包。

除此之外,安全分析师还发现,MSI 包在执行时会执行两项关键任务:

  • 部署良性应用程序来维持合法性的假象。

  • 提取包含恶意软件负载的加密档案。

技术分析

MSI 包利用 Windows Installer 的 CustomAction 功能执行恶意代码,其中包括使用硬编码密码解密档案的DLL 。

此过程提取核心恶意软件组件,包括一个加载器(libcef.dll)和两个包含编码恶意负载的 PNG 文件。

PNGPlug 加载器是此次攻击的关键组件,它通过多种复杂的技术为恶意软件执行设置环境。

它修补 ntdll.dll 以启用内存注入并执行防病毒检测,特别是检查 360 Total Security 是否存在。

如果不存在安全软件,加载程序会将 PNG 文件的内容注入新创建的进程中,从而执行 ValleyRAT 恶意软件。

ValleyRAT 归因于 Silver Fox APT 组织,是一种多阶段恶意软件,采用了 shellcode 执行、混淆、权限提升和持久机制等先进技术。

它可以监控用户活动、提供插件并可能安装额外的有效载荷。

这次活动尤其引人注目的是,它独特地关注不同地区的汉语受害者,尽管他们的政治立场不同,但将他们视为统一的目标。

攻击者使用合法软件作为恶意软件的传送机制以及 PNGPlug 加载程序的适应性进一步凸显了这种威胁的复杂性。

该活动还暴露了目标组织中潜在的运营差距,特别是一些较大的公司对员工工具的投资不足。

这种疏忽往往迫使员工依赖免费软件,无意中增加了他们受到此类恶意活动攻击的可能性。

建议各组织实施强有力的网络安全措施,包括对员工进行网络钓鱼策略教育、定期更新软件以及使用先进的威胁检测工具来减轻此类复杂的网络威胁带来的风险。

参考:

https://cybersecuritynews.com/xeno-rat-windows-dll-evasion/

https://cybersecuritynews.com/jokerspy-macos-malware/

原文始发于微信公众号(Ots安全):黑客利用 MSI 包和 PNG 文件来传播多阶段恶意软件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月22日14:11:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   黑客利用 MSI 包和 PNG 文件来传播多阶段恶意软件https://cn-sec.com/archives/3659432.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息