近日瑞星威胁情报平台捕获到一起利用合法游戏平台Steam传播恶意软件的攻击事件,攻击者将高度定制化的信息窃取工具StealC木马伪装成Steam平台热门游戏BlockBlasters的官方补丁进行分发,该木马通过多层脚本加载技术绕过安全检测,最终解压并运行StealC木马。StealC木马是一种高度定制化的信息窃取恶意软件,其核心威胁在于广泛窃取浏览器存储的密码、Cookie、自动填充数据及加密货币钱包私钥,并支持按攻击者需求定向窃取特定文件类型。
近日 瑞星威胁情报平台 捕获到一起银狐木马的攻击事件,由于该样本存在较多对抗杀毒软件及EDR的手段,故此针对此次捕获的样本进行分析说明。
银狐木马主要通过钓鱼网页、即时通讯软件、下载站伪装成常用软件供用户下载等方式进行传播,通过钓鱼、即时通讯软件传播的木马文件名称通常包含发票、税务、补贴、通知、薪资等极具诱导性的字眼,以诱导用户打开,木马运行后会联网下载真正的木马病毒,进而攻击者利用远控木马监控用户日常操作,获取隐私信息等。
瑞星威胁情报平台近期捕获到Patchwork组织针对国内科教领域及土耳其国防领域的多起定向攻击。攻击者以伪装成PDF文档的快捷方式(.lnk)作为初始载荷,通过混淆的PowerShell命令从远程服务器下载诱饵文档与多个恶意程序,然后利用计划任务实现本地持久化。下载到本地的执行文件会解密出由开源工具Donut生成的ShellCode并最终运行NorthStarC2及BADNEWS远程控制木马。
Patchwork组织,又名摩诃草、白象、APT-Q-36、Dropping Elephant,是一个疑似具有南亚某政府背景的APT组织,其最早攻击活动可追溯到2009年,至今依然活跃。该组织主要针对中国、巴基斯坦、孟加拉国等亚洲地区国家,以政府、军事、电力、工业、科研教育、外交和经济等高价值机构为攻击目标。
2025年6月,瑞星安全研究团队接收并分析了来自国内某政府单位提交的可疑邮件附件样本。经过深度技术分析和威胁情报关联,确认该攻击活动的技术特征、战术技法(TTP)以及基础设施指纹与已知的高级持续性威胁(APT)组织"蔓灵花"(BITTER)高度匹配。
此次攻击遵循了蔓灵花组织的典型攻击模式:攻击者通过精心设计的鱼叉式网络钓鱼邮件作为初始攻击向量,投递包含恶意编译HTML帮助文件(CHM)的压缩包载荷。该CHM文件内嵌恶意HTML文档,利用点击劫持(Clickjacking)技术绕过用户交互检测,实现代码的自动化执行。当目标用户在受信任环境下打开该文件时,嵌入式JavaScript脚本会被立即触发执行。
恶意脚本的核心功能是建立持久化机制:通过调用Windows任务计划程序(Task Scheduler)创建定时任务,实现在受害主机上的长期驻留。该计划任务被配置为每16分钟向预设的命令与控制(C2)服务器发起HTTP请求,以接收远程指令并通过命令行管道机制执行,从而建立起完整的远程控制通道。
蔓灵花组织是一个具有明确地缘政治动机的高级持续性威胁行为体,据开源情报分析疑似起源于南亚地区。该组织自2013年首次被安全研究人员识别以来,持续保持高度活跃状态,其攻击目标主要集中在中国、巴基斯坦等地区的战略性目标,包括政府机构、军事部门、能源基础设施以及其他关键信息基础设施。从攻击目标选择和数据窃取偏好来看,该组织的攻击活动具有明显的国家支持背景和情报收集目的,其最终目标是通过网络间谍活动获取目标国家和机构的敏感信息、机密文档以及战略情报数据。