疫情前,热爱旅行的你,或许在波光粼粼的沙滩,或许在异域丛林,或许在雪山。但自从大流行来袭以来,旅行似乎已经成为一种奢侈。目前,世界各国政府都在逐步放宽管控限制,包括解除旅行限制。旅行的愿望达到了历史最高点,攻击者正在利用这个问题传播恶意软件。本文介绍了几个最近发现的此类攻击示例。AsyncRAT-1安全研究人员最近发现一个名为itinerary.zip的恶意文件部署在dc5b-163-123-142-137.ngrok.io上。压缩文件包含一个名为Itinerary.pdf的文件____________________________________________________.exe,它是一个伪装成PDF文件的可执行文件。将可执行文件扩展名隐藏在极长的文件名后面是攻击者多年来一直使用的技巧。研究人员推测,攻击者通过与旅行相关的电子邮件或网站引诱受害者下载恶意文件。恶意文件运行后会安装.NET编写的远程控制木马AsyncRAT,其C&C服务器为znets.ddns.net和dnets.ddns.net。为了阻碍分析,恶意样本使用了多种.NET混淆工具,例如Xenocode、Babel、Yano、DotNetPatcher、CryptoObfuscator、Dotfuscator、SmartAssembly、Goliath、NineRays和198ProtectorV2。该恶意域名下还部署了travel_details.iso、activity_and_dates.iso和Itinerary.exe文件。这些恶意样本也是连接到同一C&C服务器的AsyncRAT变体。AsyncRAT-2从Windows8开始,系统原生支持ISO文件,这也为攻击者提供了另一个攻击渠道。此外,MOTW强制下载的文件必须从安全位置运行。带有MOTW标记的文件需要经过额外的安全检查,例如调用MicrosoftDefender的SmartScreen或其他反软件引擎扫描。ISO文件格式可以避免被MOTW标记,因此可以避免扫描(T1553.005)。挂载ISO文件后,可以执行其中的EXE文件来触发AsyncRAT。另一个AsyncRAT样本Bookingdetails.exe等挂载文件于2022年2月上旬被发现。所有这些样本都是以旅行为主题的,这意味着攻击者主要针对旅行者。NetwireRATFlight_Travel_Intinery_Details.js部署在DiscordCDN上,从文件名来看,该JavaScript文件可能是通过电子邮件或旅游主题相关文档中的恶意链接传播的。JavaScript文件最终通过C&C服务器kingshakes1.linkpc.net投放了NetwireRAT的变体。NetwireRAT最迟从2021年5月开始使用该C&C服务器。QuasarRAT研究人员发现了针对哥伦比亚军事组织的鱼叉邮件攻击,其主题为SolicituddeReservaparaMayo2022(意思是“2022年5月的预订请求”)。邮件里说他们要订五间房住一周。附件中提供了预订详情。在本次攻击中,ISO文件中使用了QuasarRAT远程控制木马,支持:键盘记录从Web浏览器/FTP客户端窃取密码上传/下载文件执行文件收集系统信息远程桌面编辑注册表挂载文件Quasar的C&C服务器RAT远程控制木马是opensea-user-reward.serveusers.com。根据遥测,没有找到与该域名的连接,这可能表明攻击没有成功。在发现对哥伦比亚军队的攻击后的第二天,在中国香港发现了另一个与该木马共享C&C服务器的QuasarRAT木马。结论本文中描述的攻击都不复杂,但攻击者利用了人们在隔离后对旅行的渴望。
