每周高级威胁情报解读(2024.04.19~04.25)

披露时间：2024年4月22日

情报来源：https://www.microsoft.com/en-us/security/blog/2024/04/22/analyzing-forest-blizzards-custom-post-compromise-tool-for-exploiting-cve-2022-38028-to-obtain-credentials/

相关信息：

研究人员近日发布报告称，隶属于俄罗斯总参谋部(GRU)情报总局26165军事部队的APT28组织多年来一直在利用Windows Print Spooler漏洞(CVE-2022-38028)和一种名为"GooseEgg"的新型入侵后自定义工具来提升权限并窃取凭证，且目前已观察到的攻击目标包括乌克兰、西欧和北美的政府、非政府组织、教育和交通部门。据悉，APT28似乎早在2019年4月就一直在使用GooseEgg来利用CVE-2022-38028。其中，CVE-2022-38028已于2022年10月得到修补，GooseEgg是一个简单的启动应用程序，用于启动和部署额外的恶意负载，并以SYSTEM级权限运行各种命令。

进一步调查显示，APT28通常将GooseEgg作为名为"execute.bat"或"doit.bat"的Windows批处理脚本进行部署，它会启动GooseEgg可执行文件，并通过添加启动"servtask.bat"(写入磁盘的第二个批处理脚本)的计划任务来在受感染系统上获得持久性。然后，攻击者继续使用GooseEgg在具有SYSTEM权限的PrintSpooler服务上下文中放置嵌入的恶意DLL文件(常包含短语wayzgoose，如wayzgoose23.dll)。DLL实际上是一个应用程序启动器，能够以SYSTEM级权限执行其他有效负载，并允许攻击者部署后门、在受害者的网络中横向移动以及在被攻破的系统上运行远程代码。

披露时间：2024年4月23日

情报来源：https://decoded.avast.io/janrubin/guptiminer-hijacking-antivirus-updates-for-distributing-backdoors-and-casual-mining/

相关信息：

研究人员发现并分析了劫持 eScan 防病毒更新机制以分发后门和挖矿程序的恶意软件活动。GuptiMiner 是一种很复杂的威胁，它使用有趣的感染链以及多种技术，包括向攻击者的 DNS 服务器执行 DNS 请求、执行旁加载、从看似平常的图像中提取有效负载、使用自定义可信根对其有效负载进行签名锚定认证机构等。

其可以追溯到 2018 年，尽管它的历史可能更早。通过观察 Kimsuky 键盘记录器和 GuptiMiner 操作部分之间的相似性，研究人员还发现 GuptiMiner 可能与APT 组织 Kimsuky 存在联系。GuptiMiner 的主要是在大型企业网络中分发后门。研究人员遇到过这后门的两种不同变体：第一种是 PuTTY Link 的增强版本，提供本地网络的 SMB 扫描，并允许通过网络横向移动到可能易受攻击的 Windows 7 和 Windows Server 2008 系统。第二个后门是多模块的，接受攻击者的命令安装更多模块，并专注于扫描本地系统上存储的私钥和加密钱包。

披露时间：2024年4月22日

情报来源：https://www.genians.co.kr/blog/threat_intelligence/dropbox

相关信息：

研究人员最近证实，APT43(也称Emerald Sleet、 Velvet Chollima)组织专注于利用多阶段攻击链来逃避基于签名的防病毒检测技术，并且该组织正采取新的战术，通过利用合法的DropBox云存储作为攻击基地，以逃避威胁监控的范围。据悉，活动发生在2023年年底，感染链始于多起鱼叉式网络钓鱼邮件，邮件通过伪装韩国政策会议、咨询会议、调查问卷、讲座指导等HTML页面类型方式以引诱他人。

期间，攻击者会将一个压缩文件插入到HTML代码中，压缩文件内则内含LNK类型的恶意代码以及普通文档作为诱饵，进而实施利用Dropbox的多级攻击链和TutorialRAT恶意软件部署活动，并且该活动被认为是APT43组织BabyShark威胁活动的延伸。其中，TutorialRAT是一个基于C#的远程控制程序，其源代码已在GitHub上以"C-Sharp-R.A.T"的名称发布，常被表示为"TutRAT"或"TutClient"，最早于2023年初开发，且目前已存在各种变体，能够显示虚假消息窗口，并执行收集和泄露设备信息的典型信息窃取功能。

披露时间：2024年4月23日

情报来源：https://mp.weixin.qq.com/s/BOTyH6YTmVzhVInhTlzXww

相关信息：

APT-C-28（ScarCruft）组织，也被称为APT37（Reaper）和Group123，是一个源自东北亚地区的APT组织。该组织的相关攻击活动最早可追溯到2012年，并且一直保持到现在仍然十分活跃。APT-C-28主要聚焦于对韩国和其他亚洲国家进行网络攻击行动，其目标涵盖了化学、电子、制造、航空航天、汽车以及医疗保健等多个关键行业。该组织的主要目的在于窃取与战略军事、政治和经济相关的重要、敏感数据。

此外，RokRat是一种基于云的远程访问工具，自2016年以来就一直是APT-C-28在其众多攻击活动中频繁使用的工具。RokRat的持续使用表明该工具在帮助APT-C-28实现其复杂的情报窃取活动方面扮演了关键角色。通过这种高级的远程访问工具，APT-C-28能够有效地渗透目标网络，窃取关键信息，并对受害者进行长期的监控。

研究人员监测到APT-C-28组织在进行一次精心策划的网络攻击。该组织利用伪装成“朝鲜人权专家辩论”的恶意LNK文件，作为向目标传递RokRat恶意软件的手段。在这次攻击中捕获的初始样本是一个压缩文件，里面含有伪装的恶意LNK文件。当执行这个LNK文件时，它会诱导用户下载并运行RokRat恶意软件。根据以往的公开威胁情报资料，推断这次攻击的初始载荷很可能是通过钓鱼邮件发送的。

披露时间：2024年4月23日

情报来源：https://mp.weixin.qq.com/s/y-sI1kaWv_5InhJMzNPhJw

相关信息：

2023年十月，奇安信威胁情报中心发布了《Operation HideBear：俄语威胁者将目标瞄准东亚和北美》一文，我们在文中提到攻击者的目标有着经济和技术的双重目的，经济上瞄准投资机构和比特币公司（个人），技术上对我国电感元器件制造商和生物抗体研究制药有着浓厚的兴趣，我们以中等程度的信心将其归属于Strom-0978，并于2023年末对其进行持续的跟踪中捕获了一个非常奇怪的样本，经过长时间的逆向分析发现攻击者使用了一套之前从未见披露过的内核注入技术，我们将其命名为“Step Bear”，在注入中使用天堂之门和地狱之门的调用方式启动一些不常见的内核函数导致该注入技术能够绕过主流的EDR检测，注入流程如下：

Step1：恶意进程调用内核函数xxxSetClassLong向内核中的tagCLS额外类内存写入精心构造的Shellcode。shellcode包含一段gadgets工具函数和多段小型shellcode组成。

Step2：内核自动将tagCLS额外类内存映射到notepad的只读内存块中实现代码注入。

Step3：使用内核版的wordwrap方式触发RPC调用链执行notepad只读内存块中的shellcode，RPC的调用链会先触发shellcode中的gadgets函数，然后调用VirtualProtect将小型shellcode的属性改为RWX，并执行。

Step4：相同的方式将精心构造的shellcode写入到tagCLS额外类内存中。

Step5：内核将shellcode映射到浏览器进程的只读内存块中实现代码注入。

Step6：攻击者通过向windows中一个未公开的com窗口发送自定义的消息后触发浏览器中只读shellcode的RPC调用链。

Step7：分配RWX类型的内存将CRX插件注入到浏览器中。

披露时间：2024年4月22日

情报来源：https://mp.weixin.qq.com/s/K-FUaffQx4g6d_hweXxCTg

相关信息：

海莲花，又名OceanLotus、APT32，奇安信内部跟踪编号APT-Q-31，是由奇安信威胁情报中心首次披露并命名的一个APT组织。自2012年4月起，海莲花针对中国政府、科研海莲花组织的攻击目标包括中国和东南亚多国，覆盖政府机构、该组织攻击手段多样，拥有点火的攻击武器库，常结合自研恶意软件、开源项目和商业工具实施攻击。

奇安信威胁情报中心观察到海莲花在针对国内某目标的攻击活动中使用了之前由Rust编写的加载器，内存加载Cobalt Strike木马。另外我们在开源平台发现了类似的恶意软件，这些恶意软件在Rust代码、中间阶段shellcode等方面的特征都与捕获的海莲花Rust加载器高度合，因此我们认为它们也来自海莲花组织。接下来将以这些开源样本为基础对海莲花近期使用的Rust加载器进行分析。

披露时间：2024年4月19日

情报来源：https://cert.gov.ua/article/6278706

相关信息：

研究人员近期发布报告称，俄罗斯APT44组织于2024年3月期间，实施了破坏乌克兰共10个地区的20个能源、水和供暖供应商的信息和通信系统稳定运行的恶意行动。报告显示，黑客主要通过毒害供应链来提供受感染或易受攻击的软件，或者通过软件供应商访问组织系统来渗透目标网络。目前，CERT-UA已经确认了至少三个"供应链"受到损害的事实，并且最初未经授权的访问的情况似乎与包含软件书签和漏洞的SDR的安装有关。此外，研究人员发现APT44除了使用自2022年以来已知的QUEUESEED(又称KNUCKLETOUCH、ICYWELL、WRONGSENS、KAPEKA)后门之外，还安装了新工具，即LOADGRIP、BIASBOAT和GOSSIPFLOW，以获取访问权限并在网络上横向移动。

其中，QUEUESEED是一个基于C++编程语言开发的恶意程序，能够获取有关计算机的基本信息、执行从管理服务器接收的命令并发送结果，主要功能包括：读/写文件、执行命令、更新配置、自删除，且其数据以JSON格式传输，并使用RSA+AES加密。BIASBOAT是使用C语言开发的恶意程序(ELF)，是QUEUESEED的Linux变体，它伪装成加密文件服务器并与LOADGRIP一起运行。LOADGRIP也是使用C语言开发的的QUEUESEED的Linux变体，主要功能是使用ptrace API将有效负载注入到进程中，并且有效负载通常以加密形式(AES128-CBC)呈现，解密密钥则源自常量和机器特定的ID。GOSSIPFLOW基于Go编程语言开发，能够在Windows上使用Yamux多路复用器库实现隧道构建并执行SOCKS5代理功能，进而窃取数据并确保与C2服务器的通信安全。

披露时间：2024年4月17日

情报来源：https://labs.withsecure.com/publications/kapeka

相关信息：

近期，安全人员将一个新的名为Kapeka的后门进行了披露。该后门自2022年中期以来开始活跃，主要针对东欧地区(如爱沙尼亚和乌克兰)。该后门首先通过32位的Kapeka dropper程序部署到受害主机，Kapeka后门代码通过AES-256加密内嵌在其dropper程序中。dropper程序在解密后通过rundll32运行后门，并且通过计划任务或自启注册表建立持久性。Kapeka后门是一个DLL文件，伪装为Word程序加载项，后门DLL还会收集受害主机的信息，通过多线程来获取传入指令，最终将执行结果泄露到C2服务器。目前，该后门包含的功能有启动进程、执行命令、读写文件等。由于Kapeka与GreyEnergy程序有较多重合的地方，安全人员将该后门归因至Sandworm组织。

披露时间：2024年4月23日

情报来源：https://bi.zone/expertise/blog/novyy-zagruzchik-scaly-wolf-okazalsya-neprigodnym-dlya-atak/

相关信息：

攻击者伪装为联邦机构发送网络钓鱼邮件，邮件中存在两个附件，一个pdf文档和一个zip压缩包，其中PDF文档是正常文件，诱导用户打开加密的ZIP压缩包。压缩包中存在三个文件，一个txt文件、一个rtf文件和一个exe文件。其中rtf文档用于分散用户注意力，exe文件为实际的恶意文件。该恶意文件是一个加载器，文件运行后，首先会检测当前环境是否为虚拟环境，当符合条件时，恶意代码将被注入到explorer.exe进程中。程序通过跳转到syscall来调用内核函数。为了确定进程，explorer.exe中的恶意代码会迭代正在运行的进程的结构，并将代表进程的校验和与存储的值进行比较。在检测到所需进程后，它会在其中分配一个具有执行权限的内存区域，并将解密的恶意负载复制到其中，然后更改进程上下文以执行注入的shellcode。本次攻击活动中加载的恶意负载为White Snake窃取程序，该程序可窃取主机数据并传输至远程服务器。

披露时间：2024年4月23日

情报来源：https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information-stealers/

相关信息：

研究人员发现了一项新的活动，该活动至少自 2024 年 2 月以来一直在进行，该活动由威胁行为者发起，传播三种信息窃取恶意软件，包括 Cryptbot、LummaC2 和 Rhadamanthys。该活动影响了多个国家的受害者，包括美国、尼日利亚、巴基斯坦、厄瓜多尔、德国、埃及、英国、波兰、菲律宾、挪威、日本、叙利亚和土耳其。一些受影响的用户来自日本的计算机服务呼叫中心组织和叙利亚的民防服务组织。受影响的用户通过浏览器下载伪装成电影文件的文件，这表明跨不同业务垂直领域和地区的用户可能会受到广泛的攻击。

其LNK 文件中嵌入了一个新的 PowerShell 命令行参数，可以绕过防病毒产品并将最终有效负载下载到受害者的主机中。此活动使用内容分发网络 (CDN) 缓存域作为下载服务器，托管恶意 HTA 文件和负载。

研究人员以中等信心评估威胁行为者CoralRaider正在操纵该活动。研究人员观察其与 CoralRaider 的 Rotbot 活动在策略、技术和程序 (TTP) 方面存在一些重叠，包括 Windows 快捷方式文件的初始攻击向量、中间 PowerShell 解密器和负载下载脚本、用于绕过用户访问控制 (UAC) 的 FoDHelper 技术。

披露时间：2024年4月24日

情报来源：https://www.zscaler.com/blogs/security-research/black-hat-seo-leveraged-distribute-malware

相关信息：

研究人员最近发现大量与流行网络托管和博客平台上托管的欺诈活动相关的网站。威胁行为者故意创建这些网站，通过利用网络托管平台的激增来操纵搜索引擎结果以传播恶意软件，这被称为 SEO 中毒，是黑帽 SEO 技术的一个子集。这会将其欺诈网站推到用户搜索结果的顶部，从而增加了无意中选择恶意网站并利用恶意软件感染其系统的可能性。这些网站不属于任何特定类别，因为它们涵盖了广泛的兴趣，例如盗版软件、游戏、旅行和美食食谱。广泛的覆盖范围似乎旨在进一步确保它们在互联网搜索结果中的可见性。

本博客深入研究了威胁行为者传播恶意信息窃取程序并使用混淆和反调试技术逃避检测的策略。

披露时间：2024年4月24日

情报来源：https://blog.talosintelligence.com/arcanedoor-new-espionage-focused-campaign-found-targeting-perimeter-network-devices/

相关信息：

ArcaneDoor 是一个由国家资助的攻击者针对多个供应商，且由外围网络设备发起的攻击活动。对于这些行为者来说，外围网络设备是针对间谍活动的完美入侵点。作为数据进出网络的关键路径，这些设备需要定期、及时地修补；使用最新的硬件和软件版本及配置；并从安全角度进行密切监控。在这些设备上站稳脚跟后，参与者就可以直接进入组织、重新路由或修改流量并监控网络通信。在过去两年中，攻击者利用这些设备针对电信提供商和能源部门组织等领域的攻击持续急剧增加，这些关键基础设施实体可能是许多外国政府感兴趣的战略目标。 

 在调查过程种，研究人员发现了一个以前未知的攻击者，现在追踪为 UAT4356，微软威胁情报中心追踪为 STORM-1849。该攻击者使用定制工具，表现出对间谍活动的明确关注以及对其目标设备的深入了解，这是成熟的国家资助攻击者的标志。

UAT4356 部署了两个后门“Line Runner”和“Line Dancer”作为该活动的组成部分，它们共同用于对目标进行恶意操作，包括配置修改、侦察、网络流量捕获/渗透和潜在的横向移动。

披露时间：2024年4月22日

情报来源：https://asec.ahnlab.com/ko/64345/

相关信息：

近期研究人员发现TargetCompany勒索软件组织正在针对配置不当的MS-SQL服务器下发多种恶意软件。攻击者疑似通过暴力破解的方式获取MS-SQL服务器的初始访问权限，在登录SA账户后，攻击者在受害主机上安装了Remcos木马。Remcos木马是一种远控木马，支持键盘记录、屏幕截图、摄像、录音等恶意功能，并且该木马还可窃取浏览器的历史记录和密码。

通过该木马，攻击者进一步的在受害主机上部署了其他恶意软件，窃取主机信息，并在一天后，下发Mallox勒索软件。Mallox勒索软件通过AES算法进行加密，被加密的文件携带.rmallox扩展名，加密完成后，勒索软件还将删除卷影副本、禁用关机功能。

披露时间：2024年4月18日

情报来源：https://securelist.com/dunequixote/112425/

相关信息：

近期，安全人员发现针对中东政府实体的新攻击活动，并将该活动追踪为DuneQuixote。安全人员捕获到与该活动相关的三十多个dropper文件，部分文件为普通dropper文件，部分为一个名为Total Commander的安装程序，这些文件均携带CR4T后门代码。dropper文件是一个64位的Windows可执行文件，文件执行后，首先会启动一系列的接口调用进行字符串比较，解密核心字符串，最终获取C2服务器地址并访问下载后续有效负载。

另外，Total Commander安装器是一个合法的安装程序文件，只是攻击者添加了恶意代码部分并且修改了入口点。该程序具有一系列的反分析功能，如调试器检测、安全工具检测、内存检测等。文件最终下发的CR4T程序可授予攻击者访问控制台的权限，以便其执行命令。CR4T还具有文件上传、下载和修改功能，可利用COM对象劫持技术来实现持久化，通过Telegram接口进行C2通信。目前CR4T已被捕获到存在C语言版本和Go语言版本，两者功能基本一致。

披露时间：2024年4月24日

情报来源：https://mp.weixin.qq.com/s/5gYm2V2EFYyLkIOK6ORoBA

相关信息：

研究人员近日监测到在野攻击组织利用AI构建与训练框架Ray存在的已知漏洞 CVE-2023-48022（简称为ShadowRay），进行攻击活动的威胁情报，并对其进行了测绘与分析。

受影响的Ray系统存在未授权远程执行任意代码的风险，近期已被黑产组织利用，存在信息泄露、被挖矿滥用等恶意行为。国际安全厂商Oligo在今年3月26日，公开首次提及此漏洞被攻击组织利用，由于ShadowRay是在去年9月被发现，并预估存在上千受影响企业与服务器。

披露时间：2024年4月22日

情报来源：https://mp.weixin.qq.com/s/ewo2Lp5arhun3dM94Pcsrw

相关信息：

Makop勒索软件家族于2020年首次亮相，被认为是Phobos家族的一个分支变体，主要在国内作案。该家族采用AES+RSA算法加密文件，加密后的文件通常具有mkp或makop扩展名。近期，深信服监测到Makop勒索攻击事件频繁发生。

调查显示，此次攻击中使用的勒索样本具有GUI模式和命令行模式。加密后的文件名格式是{文件原名}.[{设备ID]}.[[email protected]].mkp，勒索信文件为"+README-WARNING+.txt"，勒索完成后还会修改桌面壁纸。攻击者主要使用了loldrivers技术在内核层关闭安全软件进程。由于内核层对抗具有高度的不确定性，且容易导致主机系统死机，因此现在大多数安全软件都缺乏内核层的防御手段。本轮攻击中，被使用的驱动包括ksapi64、viragt64.sys以及SysMon.sys。ksapi64.Sys驱动负责检查调用进程的安全上下文是否具有管理员权限，并会拒绝非管理员权限进程调用。其MJ_DEVICE_CONTROL分发函数中，会检查用户层输入参数是否满足特定的结构，结构符合就读取其中的目标进程PID，根据PID结束目标进程。viragt64.sys驱动和SysMon.sys驱动并未对来自用户层的调用进行额外的安全检查，因此只要参数结构符合就能调用。其中viragt64.sys驱动接受待结束目标进程的进程名，SysMon.sys则接受待结束目标进程的PID。

披露时间：2024年4月19日

情报来源：https://www.fortinet.com/blog/threat-research/unraveling-cyber-threats-insights-from-code-analysis

相关信息：

安全人员在PyPI平台上发现了一个名为discordpy_bypass-1.7的恶意包文件，该文件在2024年3月10日发布，并于2024年3月12日被检测到。该代码具有建立持久性、浏览器数据提取、令牌窃取等功能。该恶意软件包包含7个版本，在运行后首先会检测当前环境是否为调试/分析环境，包括进程名称查找(Wireshark、OllyDbg和IDA64)、网络检测、系统信息检测。当环境符合运行要求后，程序将初始化多个变量，设置Socket.IO事件来进行处理连接、断开连接等操作。程序还提供远程控制功能，可进行目录遍历、文件操作和命令执行。

披露时间：2024年4月18日

情报来源：https://www.group-ib.com/blog/labhost-operation/

相关信息：

安全人员近期披露了LabHost的商业模式。Labhost由PhaaS平台、LabCVV信用卡商店、LabSend SMS/MMS 垃圾邮件发送系统、LabRefundTG渠道组成。攻击者仅需租用VPS服务器，通过提供门户访问权限来自动部署钓鱼网站，随后，攻击者生成网络钓鱼页面链接，使用LabSend服务将其发送给受害者，当受害者收到并打开网络钓鱼链接后，页面将引导用户填写敏感数据，包括信用卡号、CVV、名字和姓氏、出生日期等。攻击者可在LabCVV商店出售窃取到的数据，或者直接提款。LabRefund还向攻击者提供电商平台的信息，以使用被盗信用卡订购物品和商品、甚至给攻击者的账户退款。

披露时间：2024年4月17日

情报来源：https://www.mcafee.com/blogs/other-blogs/mcafee-labs/redline-stealer-a-novel-approach/

相关信息：

近期，安全人员观察到Redline Stealer的新打包变体，通过Lua字节码执行恶意行为。攻击者首先滥用github将恶意文件托管至Microsoft 官方帐户的vcpkg存储库中，恶意文件是一个zip压缩包，其内包含一个MSI安装程序，程序由2个PE文件和1个文本文件组成，2个PE文件均为经攻击者修改过的Lua项目的二进制文件，这两个文件结合文本文件可混淆恶意代码，绕过安全检测。程序运行后将向用户提示，要求用户将该程序安装到朋友的计算机上以获得完整的应用程序版本来传播恶意软件。程序携带的字节码在文本文件中，通过调试，其数据将填充为一张表，表中数据为base64的编码值，随后，数据将经过一系列的解密循环，释放多个字符串。最终，程序将获取主机信息并将其发布至远程C2服务器。

披露时间：2024年4月18日

情报来源：https://decoded.avast.io/luiginocamastra/from-byovd-to-a-0-day-unveiling-advanced-exploits-in-cyber-recruiting-scams/

相关信息：

研究人员近期发现了Lazarus组织通过伪造工作机会针对亚洲地区具有技术背景的个人的一项新网络钓鱼活动。据悉，该活动涉及利用默认Windows驱动程序appid.sys中的0-day漏洞(CVE-2024-21338)来部署"FudModule 2.0" rootkit的完整攻击链。研究人员表示，该活动背后的动机尚不清楚，在利用之前，攻击者将采用社会工程技术与目标用户建立联系，潜在的传播媒介包括LinkedIn、WhatsApp、电子邮件或其他平台。随后，攻击者尝试发送伪装成VNC工具的恶意ISO文件，它包含三个文件：AmazonVNC.exe、version.dll和aws.cfg。

调查显示，AmazonVNC.exe可执行文件伪装成Amazon VNC客户端，它是一个名为choice.exe的合法Windows应用程序，常驻留在System32文件夹中，主要用于侧加载恶意version.dll。此恶意DLL使用本机Windows API函数，试图避免用户模式API挂钩等防御技术。在DLL获取当前Windows版本的正确系统调用号后，它将准备好生成iexpress.exe进程来托管驻留在第三个文件 aws.cfg中的进一步恶意负载。aws.cfg文件则被VMProtect混淆，其有效负载能够从一个销售大理石建筑材料的合法被黑网站处下载shellcode，最终分步执行RollFling、RollSling、RollMid加载器、Kaolin RAT等恶意软件攻击链。其中，RollFling加载程序是一个作为服务建立的恶意DLL，主要作用是启动执行链，RollSling加载器由RollFling启动，并在内存中执行，主要功能是定位与其位于同一文件夹(或Package Cache文件夹)中的二进制blob。RollMid加载器则负责从二进制blob加载攻击的关键组件和配置数据，同时还会与C2服务器建立通信。最后，攻击者还将在内存中执行Kaolin RAT，并会配置特定参数以实现正确的功能，它是一个功能齐全的工具，能够执行各种命令，包括加载FudModule rootkit组件。