AveMaria是2018年12月首次出现的窃密木马,攻击者越来越喜欢利用它进行攻击,运营商也在不断更新升级。在过去六个月中,研究人员观察到AveMaria传播方式的许多变化。2022年12月的攻击研究人员发现了一种名为.Vhd(x)的攻击,攻击者使用虚拟硬盘文件格式进行有效负载传递。针对哈萨克斯坦官员的攻击链攻击者冒充俄罗斯政府发送带有.vhdx附件的会议通知钓鱼邮件。恶意电子邮件执行附件后,会创建一个新的驱动器。它包含恶意LNK文件、诱饵文件和其他相关文件。单击快捷方式将通过curl命令下载其他恶意软件。最后,有效负载执行使用AveMaria感染受感染的主机。行为流程攻击链的另一个例子攻击者还使用了攻击链的另一个变体,但由于没有获得原始邮件,因此无法准确推断出如何传递有效载荷。攻击链中使用的自定义下载器从第三方文件共享网站下载加密文件,下载到内存中,解密后执行。Payload具有良好的检测规避能力。解密逻辑攻击者自定义类型转换机制,根据原始数据构造PE文件。该文件通过位操作转换机制解密生成无导出表的DLL文件,并将资源中的加密数据解密为AveMaria恶意软件。解密代码October2022AttackOperationAttackChain攻击者利用高度混淆的AutoIT脚本解密内存中的AveMaria二进制文件,然后执行有效载荷。AutoIT脚本嵌入在一个自执行的压缩文件中,其主要组成部分有:Vbscript:执行沙箱和反软件模拟环境检查,并向解释器提供AutoIT脚本AutoIT解释器:运行脚本AutoIT脚本:包含高度混淆的Payload解密Executing恶意软件的逻辑在此活动中,攻击者邀请收件人提交具有恶意ZIP存档的未识别出价的竞争性报价。恶意邮件文件解压后会释放恶意文件和诱饵文件,并通过wscript.exe调用vbscript恶意脚本。然后调用解释器执行恶意AutoIT脚本,将恶意软件进程注入合法文件。总体流程2022年9月针对塞尔维亚的攻击活动攻击链攻击者冒充塞尔维亚政府并敦促接收者更新其登录凭据以访问政府门户。符合条件的塞尔维亚人和外国公民可以注册电子身份,并通过单点登录访问所有与政府相关的门户网站。合法的网站恶意软件在执行时会在%userprofile%\document中创建自己的副本,并使用PowerShell命令进一步逃避WindowsDefender的检测。PowerShell命令执行名为Adob??e5151.exe的恶意软件,它会解密最终的有效负载以窃取敏感信息并建立C&C通道。另一个攻击链攻击者模仿了一个常见的采购订单支付请求,恶意软件伪装成假票作为附件发送。恶意电子邮件投放的VBScript脚本似乎具有PDF文件后缀和脚本文件图标。文件图标VBScript脚本也经过混淆处理,执行时会下载并执行一个PowerShell脚本。VBScript脚本进程下载的文件经过base64编码,并解码出实际的恶意负载。2022年8月攻击攻击链攻击者以乌克兰官员为目标,冒充乌克兰经济政策和战略规划部。发送的恶意电子邮件带有一个ISO附件,其中包含AveMaria恶意软件以及三个诱饵文档和四个快捷方式文件。恶意电子邮件中的所有快捷方式文件都使用相同的PowerShell命令来检索每个驱动器中的硬编码文件名。LNK文件Avemaria在执行时使用硬编码文件名images.exe在%userprofile%\documents下创建自己的副本,并将其保存在注册表中。持续的2022年7月攻击的攻击链使用系统二进制代理执行规避技术来执行有效负载。由于没有获得恶意邮件,研究人员推测该ISO文件被用作附件进行分发。ISO文件中的LNK文件包含PowerShell命令和在运行时解密的混淆代码。执行LNK文件会下载恶意HTA文件,然后由mshta.exe执行。快捷方式文件HTA文件由标记下的VBScript代码组成,这些代码在执行时会生成混淆的第三阶段PowerShell代码。混淆后的PowerShell代码PowerShell代码去混淆后,主要包括执行、解码、下载等功能。去混淆代码总结AveMaria的运营商一直在积极维护恶意软件更新并使用各种技术来确保恶意软件检测规避能力。
