威胁情报信息分享|以远程访问木马为武器的MULTI#STORM攻击行动瞄准了印度和美国

一项被命名为MULTI#STORM的新型钓鱼攻击活动，通过利用JavaScript文件来在被攻击的系统中部署远程访问木马（RAT），目标定位于印度和美国。

Securonix的研究员Den Iuzvyk、Tim Peck和Oleg Kolesnikov表示：“攻击链最后使受害者的机器感染多个独特的远程访问木马恶意软件，例如Warzone RAT和Quasar RAT。”

他们进一步解释说：“这两种木马都在感染链的不同阶段被用于指挥与控制。”

多阶段的攻击链开始于邮件收件人点击指向一个密码保护的ZIP文件（名为"REQUEST.zip"）的嵌入链接，该文件托管在Microsoft OneDrive上，密码为“12345”。

解压缩的归档文件显示出一个高度混淆的JavaScript文件（"REQUEST.js"）。当双击时，该文件通过执行两个负责从OneDrive检索并执行两个独立有效载荷的PowerShell命令，激活了感染过程。

这两个文件中的第一个是一个诱骗性的PDF文档，显示给受害者看，而第二个文件是一个Python-based的可执行文件，它在背景中秘密运行。

该二进制文件作为一个投放器，以Base64编码的字符串的形式，从中提取并运行主要的有效载荷（"Storm.exe"），但在此之前，它会通过修改Windows注册表来建立持久性。

该二进制文件还解码了第二个ZIP文件（"files.zip"），它包含四个不同的文件，每个文件都被设计用于通过创建模拟的受信任目录来绕过用户帐户控制（UAC）并提升权限。

Securonix表示，其中一个名为"check.bat"的批处理文件与另一个称为DBatLoader的加载器有几个共同点，尽管使用的编程语言不同。

第二个名为"KDECO.bat"的文件执行一个PowerShell命令，指示Microsoft Defender添加一个防病毒排除规则，以跳过"C:Users"目录。

这次攻击以部署Warzone RAT（又名Ave Maria）结束，这是一种可以购买的恶意软件，每月售价38美元，具有详尽的功能列表，用于收集敏感数据并下载其他恶意软件，如Quasar RAT。

研究员们表示：“在处理钓鱼邮件时，特别需要保持高度警惕，特别是当紧急感被强调时。”

“这个特定的诱饵并不引人注目，因为它需要用户直接执行一个JavaScript文件。快捷方式文件，或者使用双扩展名的文件可能会有更高的成功率。”