瑞星威胁情报平台近期捕获到一个高度仿真的恶意安装包(FakeApp)。该样本不仅捆绑了臭名昭著的银狐木马,其内置的所谓正常程序实质上也是一款涉嫌商业欺诈的李鬼软件。
一旦用户运行程序,内嵌的恶意载荷会直接加载至内存执行。载荷随后以系统服务形式常驻,获取高权限后与远程服务器通信以窃取敏感数据。与传统样本不同,该样本携带的OpenClaw本地部署工具极具迷惑性——它将原本免费开源的项目通过技术封装变为收费模式,通过诱导用户付费实现二次牟利。
瑞星威胁情报平台近期发现针对国内用户的定向攻击活动,目标主要涉及政府及教育机构等关键领域。攻击者利用MSI TRANSFORMS技术的新手法,通过在MST文件中植入恶意载荷,操控MSI安装程序的执行流程,在安装过程中加载并运行恶意代码。为提升隐蔽性,攻击者采用多阶段加载机制,通过释放和执行内嵌shellcode的恶意代码,在内存中运行木马,实现对目标主机的信息窃取和远程控制。溯源分析显示,该攻击活动与OceanLotus组织高度相关,表明其攻击能力显著增强,因此需高度关注并加强防护。
OceanLotus(海莲花)又名APT32、SeaLotus, 是一个具有东南亚国家背景的APT组织,其攻击活动最早可追溯到2012年。自2015年首次披露以来,该组织持续活跃至今,后续针对中国境内的攻击活动扩展到几乎所有重要机构,包括政府部门、科研院所、境内高校和金融投资机构等。
近日,瑞星威胁情报平台发现一起伪装成合法软件安装包的恶意攻击事件。攻击者将初始样本命名为Flash1.1.msi,冒充Flash安装包诱骗用户执行。随后,通过自定义脚本将样本内的恶意载荷在本地解压,并改名为wegame.exe,伪装成腾讯游戏客户端程序以迷惑用户。该程序运行后将内嵌在自身的远控木马在内存中动态执行,实现文件不落地攻击。远控木马通过与远程服务器通信,发送/接收数据,可能导致用户数据泄露或系统被控制。目前,该样本在VirusTotal上的检出率极低,目前仅瑞星独家检出。建议用户从官方渠道下载软件,并保持安全软件实时更新,以防范此类攻击。
瑞星威胁情报平台近期发现一起针对巴基斯坦的定向攻击活动,攻击者冒充巴基斯坦反恐部门,以安全简报为诱饵,向该国国家电信公司员工发送钓鱼邮件。不同于常见的LNK或Office文档附件,此次攻击使用检测率较低的IQY文件(Excel支持的互联网查询文件)。用户打开该文件后,Excel通过内嵌URL从远程服务器下载并执行批处理脚本。该脚本功能简单,负责下载缺少MZ头的可执行程序,在本地修复后运行。修复后执行的程序具备信息上传和下载功能,其中下载的恶意载荷就包括名为wmRAT的远控木马。该木马由南亚APT组织Bitter开发,支持与C2服务器通信,具备数据窃取、文件管理和远程控制等功能。
Bitter(中文名蔓灵花)是一个源自南亚地区的APT组织,具有浓厚的政治背景,其活动至少可追溯至2013年。该组织长期针对中国和巴基斯坦两国展开网络攻击,主要攻击目标包括政府部门、能源、电力、国防及军工等高价值单位,旨在窃取机密情报。