银狐木马近期攻击案例分析
概述
银狐
木马作为数年前在国内开始流行的一类远控木马,时至今日活跃度只增不减。近期瑞星威胁情报平台
在日常运营中捕获到多起攻击案例,现对相关案例分类进行详细分析
银狐
木马作为数年前在国内开始流行的一类远控木马,时至今日活跃度只增不减。近期瑞星威胁情报平台
在日常运营中捕获到多起攻击案例,现对相关案例分类进行详细分析
瑞星威胁情报平台近期发现针对国内用户的定向攻击活动,目标主要涉及政府及教育机构等关键领域。攻击者利用MSI TRANSFORMS
技术的新手法,通过在MST
文件中植入恶意载荷,操控MSI
安装程序的执行流程,在安装过程中加载并运行恶意代码。为提升隐蔽性,攻击者采用多阶段加载机制,通过释放和执行内嵌shellcode
的恶意代码,在内存中运行木马,实现对目标主机的信息窃取和远程控制。溯源分析显示,该攻击活动与OceanLotus
组织高度相关,表明其攻击能力显著增强,因此需高度关注并加强防护。
OceanLotus
(海莲花
)又名APT32
、SeaLotus
, 是一个具有东南亚国家背景的APT
组织,其攻击活动最早可追溯到2012
年。自2015
年首次披露以来,该组织持续活跃至今,后续针对中国境内的攻击活动扩展到几乎所有重要机构,包括政府部门、科研院所、境内高校和金融投资机构等。
近日,WinRAR官方发布了新版本,版本号为7.12 beta1,其中修复了一个安全漏洞(漏洞编号为CVE-2025-6218
),该漏洞仅影响Windows版本。用户在解压攻击者精心构造的压缩包时可导致包含特殊路径的文件被解压至预期之外的目录,这可能导致攻击者在用户设备上执行恶意代码
近日,瑞星威胁情报平台发现一起伪装成合法软件安装包的恶意攻击事件。攻击者将初始样本命名为Flash1.1.msi
,冒充Flash
安装包诱骗用户执行。随后,通过自定义脚本将样本内的恶意载荷在本地解压,并改名为wegame.exe
,伪装成腾讯游戏客户端程序以迷惑用户。该程序运行后将内嵌在自身的远控木马在内存中动态执行,实现文件不落地攻击。远控木马通过与远程服务器通信,发送/接收数据,可能导致用户数据泄露或系统被控制。目前,该样本在VirusTotal
上的检出率极低,目前仅瑞星独家检出。建议用户从官方渠道下载软件,并保持安全软件实时更新,以防范此类攻击。