近期,网络安全研究人员发现,攻击者通过将恶意代码隐藏在图片中,成功投放了VIP Keylogger和0bj3ctivity Stealer等恶意软件。HP Wolf Security在其2024年第三季度威胁洞察报告中详细披露了这两起攻击活动,并指出攻击者利用相同的.NET加载器来安装最终的有效负载。
攻击手法解析
-
钓鱼邮件诱导:攻击者通过伪装成发票和采购订单的钓鱼邮件,诱使受害者打开恶意附件(如Microsoft Excel文档)。这些文档利用Equation Editor中的已知漏洞(CVE-2017-11882)下载VBScript文件。
-
图片隐藏恶意代码:VBScript文件解码并运行PowerShell脚本,从archive[.]org下载一张图片,提取其中的Base64编码代码,并将其解码为.NET可执行文件。
-
恶意软件投放:.NET可执行文件作为加载器,从指定URL下载VIP Keylogger并运行。该键盘记录器能够窃取感染系统中的击键记录、剪贴板内容、屏幕截图和凭证等信息。
类似攻击活动
在另一起类似活动中,攻击者通过电子邮件发送恶意压缩文件,伪装成报价请求,诱导受害者打开压缩包中的JavaScript文件。该文件随后启动PowerShell脚本,下载远程服务器上的图片,解析其中的Base64编码代码,并运行相同的.NET加载器。最终,攻击链以投放名为0bj3ctivity的信息窃取软件告终。
攻击工具与趋势
这两起活动的相似性表明,攻击者正在利用恶意软件工具包提高攻击效率,同时降低攻击所需的时间和技术门槛。HP Wolf Security还观察到,攻击者使用HTML走私技术通过AutoIt投放器分发XWorm远程访问木马(RAT),与此前分发AsyncRAT的方式类似。
生成式AI的滥用
值得注意的是,攻击者使用的HTML文件显示出生成式AI(GenAI)辅助编写的痕迹。HP指出,GenAI在攻击链的初始访问和恶意软件投放阶段的使用正在增加。攻击者通过GenAI扩展攻击规模、创建变种以提高感染率,并增加网络防御者的溯源难度。
游戏作弊工具中的恶意软件
此外,攻击者还通过创建GitHub仓库,宣传视频游戏作弊和修改工具,利用.NET投放器分发Lumma Stealer恶意软件。
专家观点
HP安全实验室首席威胁研究员Alex Holland表示:“这些攻击活动进一步证明了网络犯罪的商品化趋势。随着‘即插即用’的恶意软件工具包变得更加普及、廉价且易于使用,即使是技能有限的新手也能构建有效的感染链。”
防御建议
-
提高安全意识:警惕不明来源的邮件和附件,尤其是伪装成发票或报价请求的文件。
-
及时更新软件:修复已知漏洞,防止攻击者利用漏洞投放恶意软件。
-
部署安全解决方案:使用端点检测与响应(EDR)工具监控异常活动。
-
限制脚本执行:禁用不必要的脚本执行权限,减少攻击面。
结语:
此次攻击事件再次提醒我们,网络威胁正变得越来越复杂和隐蔽。攻击者通过隐藏恶意代码、滥用生成式AI以及利用游戏作弊工具等手段,展示了其不断演变的战术。企业和个人应保持高度警惕,采取多层次的安全措施,以应对日益严峻的网络威胁。
原文始发于微信公众号(技术修道场):黑客利用图片隐藏恶意代码,投放VIP Keylogger和0bj3ctivity窃密软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论