2025年第一季度，網(wǎng)絡(luò)安全戰(zhàn)場硝煙四起，網(wǎng)絡(luò)犯罪分子繼續(xù)發(fā)起新的攻擊并優(yōu)化其攻擊手段。本文對五大值得關(guān)注的惡意軟件進(jìn)行了概述和簡要分析。

2025年初，攻擊者開始利用一種被稱為ClickFix的技術(shù)來傳播 NetSupport 遠(yuǎn)程訪問木馬（RAT）。這種技術(shù)會將虛假的驗證碼頁面注入被攻陷的網(wǎng)站，誘導(dǎo)用戶執(zhí)行惡意 PowerShell 命令，從而下載并運(yùn)行 NetSupport RAT。一旦安裝成功，該 RAT 會賦予攻擊者對受害者系統(tǒng)的完全控制權(quán)，包括實時屏幕監(jiān)控、文件操作以及任意命令執(zhí)行。

NetSupport RAT 的主要技術(shù)特點(diǎn)

●攻擊者可以實時查看并控制受害者屏幕。

●上傳、下載、修改和刪除受感染系統(tǒng)中的文件。

●遠(yuǎn)程運(yùn)行系統(tǒng)命令和 PowerShell 腳本。

●捕獲復(fù)制的文本，包括密碼和敏感數(shù)據(jù)。

●記錄用戶按鍵以竊取憑證。

●啟動、停止和修改系統(tǒng)進(jìn)程和服務(wù)。

●通過啟動文件夾、注冊表鍵或計劃任務(wù)實現(xiàn)持久化。

●使用進(jìn)程注入和代碼混淆技術(shù)逃避檢測。

●通過加密流量與攻擊者保持隱秘通信。

當(dāng) NetSupport RAT 感染系統(tǒng)時，它會立即與命令和控制 （C2） 服務(wù)器建立連接，從而允許攻擊者遠(yuǎn)程作受感染的機(jī)器。通過此連接，攻擊者可以執(zhí)行系統(tǒng)命令、部署其他惡意軟件和修改系統(tǒng)設(shè)置。

檢測到的 CnC 連接

NetSupport RAT 還使用多種戰(zhàn)術(shù)、技術(shù)和程序（TTP）來維持持久性、逃避檢測并收集系統(tǒng)數(shù)據(jù)。關(guān)鍵的 TTP 包括：

●持久性與執(zhí)行：修改注冊表啟動項，通過 wscript.exe 執(zhí)行腳本。

●發(fā)現(xiàn)：讀取計算機(jī)名稱、檢查系統(tǒng)語言并訪問環(huán)境變量。

●防御規(guī)避與 C2 通信：投放合法的 Windows 可執(zhí)行文件，創(chuàng)建遠(yuǎn)程控制的互聯(lián)網(wǎng)連接對象。

NetSupport RAT 使用的主要TTP

Lynx 勒索軟件即服務(wù)（RaaS）組織以其高度結(jié)構(gòu)化而聞名，提供完善的附屬計劃與強(qiáng)大的加密方法?；谠缙?INC 勒索軟件的基礎(chǔ)，Lynx 提升了其能力并擴(kuò)大了攻擊范圍，瞄準(zhǔn)了多、、個國家的不同行業(yè)。

Lynx 的附屬面板允許其附屬機(jī)構(gòu)在用戶友好的界面中配置受害者資料、生成自定義勒索軟件樣本并管理數(shù)據(jù)泄露計劃。由于其結(jié)構(gòu)化方法，即使對于技術(shù)專業(yè)知識有限的人來說，它也成為最容易獲得的勒索軟件之一。

為了激勵參與，Lynx 向附屬公司提供 80% 的贖金收益份額。該組織維護(hù)著一個泄密網(wǎng)站，如果受害者未能支付贖金，就會在那里發(fā)布被盜數(shù)據(jù)。

Lynx 主要攻擊事件

2025年第一季度，Lynx 加密了一個領(lǐng)先的澳大利亞卡車經(jīng)銷商系統(tǒng)，以及一家美國專門從事公司法和證券法的律師事務(wù)所，竊取了大量敏感數(shù)據(jù)，威脅受害者支付贖金。

Lynx 勒索軟件的主要技術(shù)特點(diǎn)

●默認(rèn)加密所有文件，包括本地驅(qū)動器、網(wǎng)絡(luò)共享和可移動媒體。

●通過 RaaS 配置，可針對特定文件類型、文件夾或擴(kuò)展名。

●在加密前竊取敏感數(shù)據(jù)，包括文檔、憑證和財務(wù)信息。

●通過 HTTPS 或自定義加密通道傳輸被盜數(shù)據(jù)。

●刪除卷影副本并禁用 Windows 恢復(fù)功能以防止還原。

●關(guān)閉可能阻止加密的應(yīng)用程序。

●使用憑證轉(zhuǎn)儲技術(shù)提取存儲的密碼。

●通過 Tor 網(wǎng)絡(luò)匿名通信并與 C2 服務(wù)器保持連接。

●檢測虛擬機(jī)和沙箱環(huán)境，改變行為以逃避分析。

●在內(nèi)存中運(yùn)行，避免將文件寫入磁盤。

可以在下述受控環(huán)境中直接觀察 Lynx Ransomware 的行為。成功被感染后，桌面背景被勒索消息替換，攻擊者留下一張便條警告所有數(shù)據(jù)都已被盜和加密，受害者被指示下載 Tor 以聯(lián)系他們。

攻擊者留下的勒索軟件消息

一些文件也被重命名，，并附加其擴(kuò)展名。例如，C：\Users\admin\Desktop\academicroad.rtf 變?yōu)?C：\Users\admin\Desktop\academicroad.rtf.LYNX。

檢測到使用 .lynx 重命名的文件

整個系統(tǒng)中的數(shù)十個文件以這種方式被修改，進(jìn)一步證實了其加密過程。這些只是 Lynx 在受感染系統(tǒng)內(nèi)執(zhí)行的眾多破壞性作中的一小部分。

2025 年初，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)了一個復(fù)雜的惡意軟件活動，該活動部署了 AsyncRAT，這是一種遠(yuǎn)程訪問木馬，以其高效的異步通信功能而聞名。

該活動因其使用基于 Python 的有效負(fù)載和利用 TryCloudflare 隧道來增強(qiáng)隱身性和持久性而脫穎而出。

攻擊始于一封包含 Dropbox URL 的網(wǎng)絡(luò)釣魚電子郵件。當(dāng)收件人單擊該鏈接時，他們會下載一個 ZIP 存檔，其中包含 Internet 快捷方式 （URL） 文件。反過來，此文件通過 TryCloudflare URL 檢索 Windows 快捷方式 （LNK） 文件。執(zhí)行 LNK 文件會觸發(fā)一系列腳本、PowerShell、JavaScript 和批處理腳本，這些腳本會下載并執(zhí)行 Python 負(fù)載。

此負(fù)載負(fù)責(zé)部署多個惡意軟件系列，包括 AsyncRAT、Venom RAT 和 XWorm。

AsyncRAT 技術(shù)特點(diǎn)

●允許攻擊者在受感染的系統(tǒng)上執(zhí)行命令、監(jiān)控用戶活動和管理文件。

●能夠竊取敏感信息，包括憑據(jù)和個人數(shù)據(jù)。

●采用技術(shù)來維護(hù)長期訪問，例如修改系統(tǒng)注冊表和利用啟動文件夾。

●使用混淆和加密來逃避安全解決方案的檢測。

AsyncRAT 連接到 masterpoldo02[.]kozow[.]COM 通過端口 7575，允許遠(yuǎn)程攻擊者控制受感染的機(jī)器。阻止此域并監(jiān)控流向此端口的流量有助于防止感染。

此外，AsyncRAT 將自身安裝在 %AppData% 中以混入合法應(yīng)用程序，并使用互斥鎖 （AsyncMutex_alosh） 來防止多個實例運(yùn)行。

在受控環(huán)境中分析惡意配置

該惡意軟件還使用帶有硬編碼密鑰和 salt 的 AES 加密，使安全工具難以分析其通信。

AsyncRAT 使用的 AES 加密

2025 年初，網(wǎng)絡(luò)安全專家發(fā)現(xiàn)了一個復(fù)雜的活動，涉及信息竊取惡意軟件 Lumma Stealer。

攻擊者使用 GitHub 的發(fā)布基礎(chǔ)設(shè)施來分發(fā)此惡意軟件，利用該平臺的可信度繞過安全措施。執(zhí)行后，Lumma Stealer 會啟動其他惡意活動，包括下載和運(yùn)行其他威脅，如 SectopRAT、Vidar、Cobeacon 和其他 Lumma Stealer 變體。

Lumma Stealer 技術(shù)特點(diǎn)

●通過 GitHub 版本分發(fā)，利用可信基礎(chǔ)設(shè)施來逃避安全檢測。

●竊取瀏覽器憑據(jù)、cookie、加密貨幣錢包和系統(tǒng)信息。

●將被盜數(shù)據(jù)發(fā)送到遠(yuǎn)程服務(wù)器，實現(xiàn)實時泄露。

●可以下載和執(zhí)行其他惡意軟件，包括 SectopRAT、Vidar 和 Cobeacon。

●使用注冊表修改和啟動項來維護(hù)訪問權(quán)限。

●可通過基于網(wǎng)絡(luò)的安全監(jiān)控工具進(jìn)行檢測，揭示惡意通信模式。

執(zhí)行時，惡意軟件會連接到其命令和控制服務(wù)器，從而讓敏感數(shù)據(jù)泄露。分析還揭示了特定 Suricata 規(guī)則的觸發(fā)。

由 Lumma Stealer 觸發(fā)的 Suricata 規(guī)則

分析會議還揭示了 Lumma 如何從 Web 瀏覽器竊取憑據(jù)并泄露個人數(shù)據(jù)。

Lumma Stealer 盜竊憑據(jù)和個人數(shù)據(jù)

在一波社會工程攻擊中，網(wǎng)絡(luò)犯罪分子一直在利用 InvisibleFerret（一種基于 Python 的隱蔽惡意軟件）來破壞毫無戒心的受害者。

這種惡意軟件在虛假求職面試過程中偽裝成合法軟件，已被積極用于虛假面試活動，攻擊者冒充招聘人員誘騙專業(yè)人士下載惡意工具。

InvisibleFerret 技術(shù)特點(diǎn)

●該惡意軟件使用雜亂無章且混淆不清的 Python 腳本，使分析和檢測具有挑戰(zhàn)性。

●InvisibleFerret 主動搜索和泄露敏感信息，包括源代碼、加密貨幣錢包和個人文件。

●通常由另一種名為 BeaverTail 的惡意軟件作為輔助有效載荷提供，BeaverTail是一種基于 JavaScript 的混淆信息竊取程序和加載程序。

●該惡意軟件在受感染的系統(tǒng)上建立持久性，確保持續(xù)訪問和控制。

InvisibleFerret 攻擊的一個關(guān)鍵要素是部署 BeaverTail，這是一個惡意 NPM 模塊，可提供可移植的 Python 環(huán)境 （p.zip） 來執(zhí)行惡意軟件。

分析InvisibleFerret的泄露信息

作為多層攻擊鏈的第一階段，BeaverTail 設(shè)置了 InvisibleFerret，這是一個具有高級混淆和持久性機(jī)制的隱蔽后門，使檢測變得困難。

來源：FreeBuf