IronHusky 更新了MysterySnail RAT，将矛头指向俄罗斯和蒙古

日复一日，威胁行为者不断制造新的恶意软件，用于网络攻击。每一款新植入的恶意软件都有其独特的开发方式，也因此有着各自不同的命运——有些恶意软件家族的相关使用情况已被报道了数十年，而关于另一些恶意软件的信息，在几天、几个月或几年后就消失不见了。

 我们曾在一款被我们命名为 “MysterySnail” 的远程控制木马（RAT）上看到了后一种情况。我们早在 2021 年就发现了它，当时我们正在调查 CVE-2021-40449 这一零日漏洞。那时，我们确定这个后门程序与 “IronHusky” 这一高级持续性威胁（APT）组织有关，该组织至少从 2017 年起就开始活动，且使用中文。自从我们发布了一篇关于这款植入程序的博客文章后，就再也没有关于它的公开报道了，其踪迹也一直不为人知。

 然而，最近我们成功发现了有人试图部署这款植入程序的新版本，目标是位于蒙古和俄罗斯的政府机构。对我们来说，看到这样的受害者选择并不意外，因为早在 2018 年，我们就曾提到，与这款远程控制木马相关的 “IronHusky” 组织对攻击这两个国家特别感兴趣。事实证明，尽管一直没有相关报道，但这些年来，这款植入程序一直被频繁用于网络攻击。

我们最近发现的一次感染事件是通过一个恶意的微软管理控制台（MMC）脚本来传播的，该脚本被设计伪装成来自蒙古国家土地局（ALAMGAC）的一份文件。

在Windows资源管理器中显示的恶意微软管理控制台（MMC）脚本。它带有微软Word文档的图标。

当我们对该脚本进行分析时，我们确定它的设计目的如下：

• 从file[.]io公共文件存储中获取一个包含第二阶段恶意有效载荷的ZIP压缩包，以及一个用来引诱目标的DOCX文件。

• 解压下载的压缩包，并将合法的DOCX文件放置到%AppData%CiscoPluginsX86binetcUpdate文件夹中。

• 启动从ZIP压缩包中释放出来的CiscoCollabHost.exe文件。

• 通过在“运行”注册表项中添加一个条目，使释放出来的CiscoCollabHost.exe文件具备持久化运行的能力。

• 为受害者打开下载的引诱文档。

在对CiscoCollabHost.exe文件进行调查后，我们确定它是一个合法的可执行文件。然而，攻击者部署的压缩包中还包含了一个名为CiscoSparkLauncher.dll的恶意库文件，其设计目的是通过动态链接库（DLL）侧加载技术被合法进程加载。

我们发现，这个DLL文件是一个此前未知的中间后门程序，它旨在通过滥用开源的管道服务器项目来进行命令与控制（C2）通信。关于这个后门程序，一个有趣的事实是，它所使用的Windows应用程序编程接口（API）函数的相关信息并不在恶意的DLL文件中，而是位于一个相对路径为logMYFC.log的外部文件里。这个文件使用单字节异或加密，并在运行时加载。攻击者很可能是将这个文件引入到后门程序中作为一种反分析手段——因为如果无法访问这个文件，就不可能确定它调用了哪些API函数，对这个后门程序进行逆向工程的过程基本上就变成了靠猜测。

通过与由管道服务器项目支持的合法服务器https://ppng.io进行通信，这个后门程序能够向攻击者请求命令，并将命令的执行结果发送回去。它支持以下一系列基本的恶意命令：

正如我们所发现的，攻击者利用这个后门程序中实现的命令，将以下文件部署到了受害者的机器上：

- sophosfilesubmitter.exe，一个合法的可执行文件

- fltlib.dll，一个将被侧加载的恶意库文件

根据我们的监测数据，这些文件最终留下了“MysterySnail”远程控制木马（RAT）恶意软件的痕迹，我们曾在2021年描述过这款植入程序。

在我们所观察到的感染案例中，“MysterySnail”远程控制木马被配置为以服务的形式在被攻陷的机器上持续运行。它的恶意动态链接库（DLL）由中间后门程序部署，其设计目的是加载一个用RC4和异或（XOR）算法加密的有效载荷，该有效载荷存储在一个名为attach.dat的文件中。解密后，借助run_pe库中实现的代码，通过DLL空洞注入技术以反射方式加载该有效载荷。

与我们在2021年描述的“MysterySnail”远程控制木马版本一样，这款植入程序的最新版本使用攻击者创建的HTTP服务器进行通信。我们观察到它与以下服务器进行了通信：

- watch-smcsvc[.]com

- leotolstoys[.]com

- leotolstoys[.]com

在分析了这个最新版本后门程序中实现的一系列命令后，我们发现它与2021年版本的“MysterySnail”远程控制木马中所实现的命令非常相似——新发现的这款植入程序能够接受大约40条命令，从而可以实现以下功能：

- 执行文件系统管理操作（读取、写入和删除文件；列出驱动器和目录）。

- 通过cmd.exe shell执行命令。

- 启动和终止进程。

- 管理服务。

- 连接到网络资源。

与我们在2021年文章中描述的“MysterySnail”远程控制木马样本相比，这些命令的实现方式有所不同。2021年版本的“MysterySnail”在单个恶意组件中实现这些命令，而新发现的这款植入程序的版本则依赖于在运行时下载的五个额外的DLL模块来执行命令。这些模块如下：

然而，向模块化架构的转变并非新鲜事——因为我们早在 2021 年就见过以模块化版本形式部署的“MysterySnail”远程控制木马（RAT）了。那些版本具有与上述相同的模块，甚至连 ExplorerMoudleDll.dll 模块名称中的拼写错误都一样。当时，我们迅速将有关这些版本的信息提供给了我们的高级持续性威胁（APT）情报报告服务的订阅用户。

值得注意的是，在我们阻止了近期与“MysterySnail”远程控制木马（RAT）相关的入侵活动后不久，我们观察到攻击者通过部署一个改良过的、更轻量级的MysterySnail远程控制木马（RAT）版本来继续他们的攻击。这个版本仅由单个组件构成，正因如此，我们将其命名为MysteryMonoSnail。我们注意到，它与功能完备的“MysterySnail远程控制木马（RAT）版本所使用的命令与控制（C2）服务器地址相同，不过采用的是不同的协议——使用的是WebSocket协议而非HTTP协议。

这个版本的功能不如我们上面所描述的MysterySnail远程控制木马（RAT）版本那么多——它被编程设定为仅具备13条基本命令，这些命令用于列出目录内容、向文件写入数据，以及启动进程和远程外壳程序。

关于MysterySnail远程控制木马（RAT）的相关报道之间间隔了四年之久，这段时间相当漫长。值得注意的是，在这四年间，这个后门程序的内部结构几乎没有变化。例如，我们之前注意到的ExplorerMoudleDll.dll文件中的拼写错误，在2021年的MysterySnail远程控制木马（RAT）的模块化版本中依然存在。此外，2025年版的这款远程控制木马所实现的命令，与2021年版的植入程序中的命令实现方式类似。正因如此，在开展威胁搜寻活动时，务必考虑到那些多年未被报道的旧恶意软件家族，可能仍在暗中继续其恶意活动。鉴于此，用于检测历史恶意软件家族的特征码绝不能仅仅因为其年代久远就停止使用。

卡巴斯基的全球研究与分析团队（GReAT）自 2008 年起就专注于检测复杂威胁 —— 我们为威胁情报门户网站的客户提供针对新旧恶意软件的一系列威胁指标（IoCs）。如果您希望获取这些威胁指标以及关于历史和新兴威胁的其他信息，请通过 [email protected] 与我们联系。