可在几秒钟内传送数千个恶意文件

安全公司 Outpost24 检测到一个名为Unfurling Hemlock的新组织的活动，该组织利用多种恶意软件感染目标系统，并分发数十万个恶意文件。

https://outpost24.com/blog/unfurling-hemlock-cluster-bomb-campaign/

研究人员将这种感染方法描述为“恶意软件集群炸弹”，它允许攻击者仅使用一个恶意软件，然后进一步感染受害者的计算机。

据该公司称，Unfurling Hemlock 活动于 2023 年 2 月开始，研究人员发现了超过50,000 个包含此类“集束炸弹”的文件。

应该指出的是，超过一半的 Unfurling Hemlock 攻击针对的是美国的系统，但德国、俄罗斯、土耳其、印度和加拿大的活动也相对较高。

攻击从执行 WEXTRACT.EXE 文件开始，该文件通过恶意电子邮件或 Unfurling Hemlock 有权访问的恶意软件下载器到达目标设备（假设黑客与其运营商合作）。

恶意可执行文件包含嵌套的 CAB 文件，每个级别都存储恶意软件样本和另一个压缩文件。

在每个阶段，某种恶意软件都会安装在受害者的计算机上，并且在最后阶段，所有提取的文件都以相反的顺序执行（即，首先执行最新提取的文件）。

Outpost24 专家写道，他们观察到四到七个拆包阶段，即展开 Hemlock 攻击中使用的恶意软件数量各不相同。

同时将许多有效负载加载到受感染的系统中，可以为攻击者提供高水平的冗余，使他们有更多机会在系统中立足并获利。

尽管在这些情况下被发现的风险增加，但许多黑客 仍遵循类似的激进策略，希望他们的至少一些恶意软件能够在系统清理过程中幸存下来。

在 Unfurling Hemlock 的有效负载中，研究人员指出：

Redline、RisePro 和 Mystic Stealer 窃取程序、Amadey自定义加载程序、 SmokeLoader加载程序和后门、旨在禁用 Windows Defender 和其他安全解决方案的Protection Disabler实用程序、有效负载混淆和隐藏工具Enigma Packer、性能监控实用程序，用于监控和记录恶意软件的执行情况，以及使用标准 Windows 工具（wmiadap.exe 和 wmiprvse.exe）收集系统信息的实用程序。

虽然研究人员没有详细说明 Unfurling Hemlock 如何通过其攻击获利，但可以假设该组织向其他犯罪分子出售窃取日志和被黑机器的访问权限。

显然，展开活动的参与者位于东欧国家之一。一些恶意软件样本中存在俄语以及使用自治系统 203727表明了这一点，该系统与该地区黑客组织中流行的托管相关。