Recorded Future研究人员发现,MintsLoader通过混淆脚本投递GhostWeaver等恶意载荷,采用沙盒/虚拟机检测规避技术,并利用DGA(域名生成算法)及HTTP协议进行C2通信。
【恶意软件概况】
MintsLoader是2024年首次出现的恶意加载器,已知投递包括StealC窃密木马和经过篡改的BOINC(伯克利网络计算开放平台)客户端在内的多种后续载荷。其感染链具有以下特征:
-
多阶段攻击:采用混淆处理的JavaScript和PowerShell脚本
-
反检测机制:集成沙盒与虚拟机逃逸技术
-
隐蔽通信:支持DGA动态域名和基于HTTP的C2控制
【攻击活动追踪】
• 主要使用者:威胁组织TAG-124
• 初始感染途径:
-
钓鱼邮件(含意大利PEC认证邮箱伪造的发票)
-
虚假浏览器更新提示
• 最新动态:2025年初针对欧美能源、石油、天然气及法律行业的钓鱼攻击中,攻击者通过恶意JS脚本或虚假验证页面分发MintsLoader vloader变种
Recorded Future发布的报告指出:"两种攻击方式最终都会在受害者机器上执行基于PowerShell的第二阶段MintsLoader。该加载器会拉取最终恶意载荷,特别是StealC信息窃取程序和经过篡改的BOINC客户端。攻击活动通过伪造的CAPTCHA验证页面(ClickFix/KongTuke诱导)诱骗用户执行复制的PowerShell命令,以下载并运行MintsLoader。"
【MintsLoader技术剖析】
• 初始感染载体:
-
伪造发票文件(如"Fattura####.js")主要针对欧美工业与专业领域
-
虚假验证页面利用社会工程学诱导用户执行恶意命令
• 三阶段攻击链:
-
第一阶段:高度混淆的JS文件,通过三种变体(明文PowerShell/字符替换/Base64编码)下载第二阶段载荷,均采用规避技术(垃圾代码/伪装命令)绕过检测
-
第二阶段:通过HTTP GET获取PowerShell脚本,其Base64编码载荷经XOR解码后执行以下操作:
-
禁用AMSI防护
-
执行虚拟机检测/DAC类型/缓存内存等系统检查
-
生成唯一密钥回传C2服务器
-
第三阶段:基于DGA算法动态生成域名,通过系统特征验证后投递:
-
通过验证:下载GhostWeaver等高级恶意软件(基于PowerShell的RAT,支持TLS加密通信)
-
未通过验证:投递AsyncRAT等诱饵程序(导致威胁报告误判)
【基础设施演变】
-
初期C2服务器托管于BLNWX
-
后迁移至Stark Industries、SCALAXY-AS等ISP,与俄罗斯防弹托管商Inferno Solutions存在关联
-
研究人员指出:"转向SCALAXY-AS和Stark Industries表明攻击者正从匿名VPS转向传统防弹托管,旨在增强基础设施抗打击能力和运营稳定性"
原文始发于微信公众号(黑猫安全):专家分享了与近期MintsLoader攻击相关的最新C2(命令与控制)域名及其他攻击特征指标
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论