黑客通过恶意注册表文件在新的Stegocampaign攻击活动中传播XWorm病毒

Stegoсampaign 是一种利用网络钓鱼、多功能 RAT、加载程序和恶意脚本的复杂攻击，它得到了新的转折。ANY.RUN的恶意软件分析师发现了一种 Stegocampaign 变体，该变体使用 Windows 注册表文件将恶意脚本添加到 Autorun。

虽然最近很少使用利用 Autorun，但已经发现了采用此方法的新示例。

攻击链

Steganocampaign 的架构，从网络钓鱼附件到 RAT 渗透

用户收到一封附有 PDF 文件的网络钓鱼电子邮件。

为了打开附件，用户被指示下载“扩展”，它是一个 .REG 文件。

攻击在沙箱中运行，用户要求下载 .reg 文件

在下载和打开时，此文件使用脚本修改注册表，该脚本从 Web 获取 VBS 文件并将其添加到 Autorun。

在 Windows 重启或用户登录后，将运行计划任务。VBS 文件启动 PowerShell，触发执行链，最终使用 ReverseLoader 感染作系统。

加载程序下载 XWorm，开始执行。有效负载包含嵌入在图像中的 DLL 文件，然后该文件从其资源中提取 XWorm 并将其注入到 AddInProcess32 系统进程中。

跟踪 Stegocampaign 的演变以主动防御

这一连串作滥用合法的系统工具并依赖于用户作，使自动化安全解决方案难以检测。它会使组织面临风险，可能导致数据泄露和黑客访问敏感数据。

要保护您的网络免受这种 Stegocampaign 策略的影响，请使用 ANY.RUN 的威胁情报查找，用于调查已知样本并查找类似的样本，以丰富您对攻击 TTP 的理解。

收集更多指标以微调您的检测和响应系统，并订阅自动搜索结果更新，以获取有关恶意软件分析师社区发现的最新 IOC 和最新 Stegocampaign 攻击的通知。

给定攻击者使用的域模板，向 TI 查找提交“filemail.com”会显示最近的恶意域变体：

通过一个域模式找到多个 IOC

结果列出了许多关联的 IP、滥用的域、可疑文件和互斥锁。最后但并非最不重要的一点是，它们包含更多具有不同有效载荷和参数的 Stegocampaign 样本的公共分析会话。

Stegocampaign 攻击非常危险。它们采用多种网络钓鱼场景和持久性技术，不断发展，并需要主动保护、敏捷检测和响应。

使用威胁情报解决方案来跟踪网络犯罪分子的步伐，并领先于他们滥用资源的企图。ANY.RUN的威胁情报查询在应对此类威胁中发挥着关键作用。通过调查已知样本并识别相似的攻击模式，组织可以更深入地了解对手所使用的战术、技术和程序（TTPs）。

这种情报不仅增强了对新出现的威胁的理解，还使企业能够微调其检测和响应系统，从而确保更强大的防御态势。

原文来自: cybersecuritynews.com