网络安全研究人员近日发现一种新型恶意软件攻击活动,攻击者利用基于PowerShell的shellcode加载器来部署名为Remcos RAT(远程访问木马)的恶意程序。
Part01
攻击链分析
Qualys安全研究员Akshay Thorve在技术报告中指出:"威胁分子通过ZIP压缩包分发嵌有恶意LNK(快捷方式)文件,这些文件通常伪装成Office文档。攻击链在初始阶段利用mshta.exe实现代理执行。"
根据Qualys披露的细节,最新攻击浪潮采用税务相关诱饵诱导用户打开包含Windows快捷方式文件的恶意ZIP压缩包。该LNK文件会调用微软合法工具mshta.exe(用于运行HTML应用程序HTA)来执行远程服务器上名为"xlab22.hta"的混淆HTA文件。
该HTA文件包含VBScript代码,用于下载PowerShell脚本、诱饵PDF文件以及另一个名为"311.hta"的HTA文件。攻击者还通过修改Windows注册表确保"311.hta"在系统启动时自动运行。
无文件攻击技术
当PowerShell脚本执行后,会解码并重构一个shellcode加载器,最终在内存中完全加载Remcos RAT有效载荷。这种知名恶意程序采用Visual Studio C++ 8编译的32位二进制文件,具有模块化结构,可获取系统元数据、记录键盘输入、截取屏幕截图、监控剪贴板数据,并收集所有已安装程序和运行进程列表。
此外,木马会与域名"readysteaurants[.]com"的C2(命令控制)服务器建立TLS连接,维持持久的数据外泄和控制通道。这并非首次发现无文件版Remcos RAT,2024年11月Fortinet FortiGuard Labs就曾披露过利用订单主题诱饵进行无文件部署的钓鱼活动。
SlashNext现场技术官J Stephen Kowski表示:"这种基于PowerShell的新型Remcos变种攻击表明,威胁分子正在不断进化以规避传统安全措施。这种无文件恶意软件直接在内存中运行,使用LNK文件和MSHTA.exe执行可绕过常规防御的混淆PowerShell脚本。"
相关威胁态势
近期安全行业还发现以下新型威胁:
利用篡改版KeePass密码管理软件(代号KeeLoader)投放Cobalt Strike信标并窃取敏感数据库数据 通过PDF文档中的ClickFix诱饵和中间投放URL传播Lumma窃密程序 使用受Horus Protector服务保护的恶意Office文档分发Formbook信息窃取器 滥用OneDrive等可信域名通过blob URI加载本地凭证钓鱼页面 针对乌克兰和波兰的NetSupport RAT攻击活动 通过钓鱼邮件分发含恶意代码的HTML附件窃取Outlook/Hotmail/Gmail凭证
AI驱动的攻击演变
随着人工智能技术的应用,威胁分子开始利用实时变形的多态技巧规避检测,包括动态修改邮件主题、发件人名称和正文内容。Cofense指出:"AI使威胁分子能够自动化恶意软件开发、规模化跨行业攻击,并以手术刀般的精准度个性化钓鱼信息。这些不断演变的威胁越来越能绕过传统邮件过滤器,凸显仅依赖边界防御的失败和投递后检测的必要性。"
参考来源:
Fileless Remcos RAT Delivered via LNK Files and MSHTA in PowerShell-Based Attackshttps://thehackernews.com/2025/05/fileless-remcos-rat-delivered-via-lnk.html
推荐阅读
电台讨论
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
![俄罗斯黑客组织ColdRiver近期攻击活动中使用新型"LostKeys"恶意软件](https://zhousa.com/zb_users/theme/quietlee/style/noimg/3.jpg "俄罗斯黑客组织ColdRiver近期攻击活动中使用新型"LostKeys"恶意软件")
还没有评论,来说两句吧...