APT组织UNC5174利用Discord聊天机器人的后门工具进行攻击活动—每周威胁情报动态第250期（12.05-12.11）

APT组织UNC5174利用Discord聊天机器人的后门工具进行攻击活动

近日，网络安全研究人员曝光了APT组织UNC5174针对多地目标发起的网络攻击事件。该组织通过部署基于Discord Bot的后门恶意软件，实现对受害系统的长期潜伏和远程控制。攻击活动已波及多个地区，引发安全界高度警惕。根据威胁情报平台的监测，此次事件凸显了攻击者对合法协作平台Discord API的巧妙滥用，旨在规避传统安全检测机制。

事件源于UNC5174组织的典型攻击策略：他们倾向于在受害系统中逐步植入多层后门，以降低被发现的风险。在本次调查中，研究人员从一个遭受入侵的系统上提取到磁盘残留物和网络日志，发现攻击者最初利用现有后门工具如vshell获得初步访问权限，随后在运营过渡期内引入新型Discord Bot后门。这种后门以Discord的API作为命令与控制（C2）通道，伪装成正常用户流量，从而绕过防火墙和安全策略。即使主要C2服务器被封锁，该后门也能通过Discord的备用机制维持通信。Discord原本作为游戏社区平台，提供服务器、频道和Bot功能，其REST和Gateway API本用于自动化交互，但攻击者正是利用这些特性，将其转化为隐秘的攻击基础设施。

在技术分析过程中，研究人员首先通过系统日志和磁盘镜像锁定恶意样本。该样本采用Go语言开发，依赖开源discordgo模块，代码量不足100行，高度简化以提升隐蔽性。截至2025年11月24日，该恶意软件在VirusTotal上的检测率仅为1/64。技术分析显示，恶意软件启动时会动态解密硬编码的Bot Token和Server ID（使用Base64和AES加密），随后通过discordgo.New()函数建立与攻击者Discord服务器的连接。

进一步逆向工程揭示了其核心事件处理机制：后门注册MessageCreate事件回调，当攻击者在Discord频道发送命令消息时，该事件被触发。回调函数捕获消息内容，并将其附加到“bash-c”前缀，执行于Linux环境下的系统命令。例如，攻击者可远程下达任意指令，如文件上传下载或系统侦察。命令执行结果暂存至临时文件（如/tmp/message.txt），然后通过Discord频道回传给攻击者，最后删除文件以抹除痕迹。该后门还集成另一个Go开源库，用于采集主机名、操作系统版本、CPU信息和内存使用率等敏感数据，确保攻击链的完整性。这种设计充分利用Discord的认证和通信协议，使恶意流量与合法Bot交互无异，极大增加了检测难度。

研究人员的分析强调，UNC5174组织通过避免专用C2服务器，转而依赖Discord等公共平台，实现了高效的持久化和数据窃取。事件指标（IOCs）包括样本MD5哈希c193742412e98f1d46953f1ee73841b9，以及两个解密后的Bot Token和Server ID组合，这些可用于安全扫描和阻断。

参考链接：

https://asec.ahnlab.com/en/91419/

APT组织GOLD BLADE的攻击战略演进与新型攻击态势

在2024年2月至2025年8月期间，网络安全研究人员深入调查了近40起与STAC6565活动相关的入侵事件，并以高置信度将其归因于GOLD BLADE威胁组织（又称RedCurl、RedWolf和Earth Kapre）。这一活动呈现出明显的地域针对性，大约80%的攻击指向加拿大组织，其余主要集中在美国的14%目标上。GOLD BLADE组织自2018年浮出水面之初，便以网络间谍活动为主，专注于窃取敏感商业情报、凭证和电子邮件，通常以“雇佣黑客”的模式运作，而非通过数据泄露网站公开售卖信息，这暗示其行动深受客户需求的驱动。进入2025年4月，该组织开始选择性地部署QWCrypt勒索软件——一种由Bitdefender于同年3月首次报告的自定义工具——从而将数据窃取与勒索相结合，实现独立变现。这一转变标志着GOLD BLADE从纯间谍活动转向混合型操作，其活动模式呈现出明显的周期性：通常蛰伏一至两个月后爆发新一轮攻势，例如2024年9月、2025年3月和7月的迭代更新，这些调整往往源于外部报告的反馈和内部开发周期。受害者覆盖十多个行业，其中服务业（占21%）、制造业、零售业和技术领域遭受重创，组织通过开源情报（OSINT）工具精准锁定客户指定的目标，展现出高度的专业化。

随着时间的推移，GOLD BLADE组织的战略已从单纯的间谍窃取演变为融合数据盗取与选择性勒索的混合模式，依托自定义QWCrypt锁定器实现双重收益。该组织定期优化入侵路径，从传统的钓鱼邮件转向滥用招聘平台（如Indeed、JazzHR和ADP WorkforceNow），通过伪造的求职简历作为诱饵，大幅提升了攻击成功率。这种方法巧妙利用人力资源部门对申请跟踪系统的信任，绕过电子邮件防护机制，避免直接与HR人员的互动。在2025年4月的一次典型行动中，攻击者伪造Indeed或LinkedIn的“安全简历共享服务”页面，将受害者重定向至恶意站点，从而投放武器化PDF文件。GOLD BLADE的运作宛如一家“服务型企业”，不断迭代工具以维持效能，但其行为不完全符合传统分类：既具财务动机却行事低调、持久且非国家赞助或政治导向。尽管第三方报告曾暗示其可能源于俄语区，但研究人员分析未发现确凿证据。该组织习惯于长达数月的休眠期，随后以改进战术发起攻击浪潮，并逐步扩展至混合变现模式，而非依赖数据泄露站点（DLS）公开叫嚣。

研究人员通过逆向工程样本、行为分析和事件响应数据，对GOLD BLADE的战术、技术和程序（TTPs）进行了详尽剖析。这一过程揭示了多阶段感染链、防御规避机制以及命令与控制（C2）隧道化的核心特征，同时追踪了RedLoader载荷链的迭代演变。初始访问主要依赖招聘平台的武器化简历，这些PDF文件要么直接嵌入恶意载荷，要么链接外部服务器。解压后，通常释放.zip包，内含伪装成PDF的.lnk文件，或.iso/.img镜像，后者自动挂载虚拟驱动器。从2024年9月起，第一阶段执行转向使用rundll32.exe从WebDAV服务器（如Cloudflare Workers域名）远程拉取RedLoader DLL，并在内存中运行，同时伪装打开Indeed登录页以掩人耳目。到2025年3月和4月，攻击链升级为重命名后的ADNotificationManager.exe（例如CV Applicant.exe或.scr文件），通过DLL侧加载注入srvcli.dll或netutils.dll。7月版本则融合前述方法，.lnk文件拉取可执行文件并远程侧加载DLL。

在第二阶段，DLL连接C2服务器后，会在用户AppDataRoaming目录下创建计划任务（如BrowserEngineUpdate，附加Base64编码的计算机名），利用pcalua.exe等LOLBin执行，或在后期转向conhost.exe –headless模式部署独立可执行文件。7月样本的SHA256哈希显示出明显的家族特征。第三阶段则更具选择性：部分仅作为信标向新C2报告，而完整安装会创建如HybridDriveCacheRebalance的任务，交付DLL/可执行文件、.dat配置文件以及重命名的7-Zip工具。通过pcalua.exe或rundll32.exe执行后，解析.dat文件检查连通性，并运行.bat脚本来勘探系统——调用Sysinternals AD Explorer、tasklist和WMIC命令枚举主机、磁盘、进程和防病毒软件，随后用7-Zip压缩数据并通过WebDAV外泄。

防御规避是GOLD BLADE的另一亮点，他们采用BYOVD策略，重用Zemana驱动程序，并修改开源的Terminator工具作为EDR杀手。Terminator样本经自定义XOR混淆（用于bcrypt/AES字符串），PDB路径暴露了开发痕迹，暗示其结构化工具包。部署时，term.exe/term.sys落入C:ProgramData，安装为内核服务（TRM/SfTerm）后自删；在4月QWCrypt事件中，重命名为lmhost.exe/lmhost.sys，通过SMB传播，禁用注册表键（如VulnerableDriverBlocklistEnable=0x0和HypervisorEnforcedCodeIntegrity=0x0），并注册为LMHost服务。C2通信则依赖RPivot，QWCrypt变体转向Chisel的SOCKS5，通过NSSM服务（如MSAProfileNotificationHandler.exe）连接C2等端点，基础设施轮换频繁。

研究人员关键发现显示，GOLD BLADE组织的成熟体现在招聘滥用、链条精炼以及混合操作上，尽管Terminator中未见AES加密字符串，但PDB路径的疏漏暴露了开发习惯。在QWCrypt部署前，通常延迟数天完成数据收集，赎金笔记借鉴LockBit风格却无直接关联。RedLoader作为自定义多态载荷，QWCrypt锁定器经加密7-Zip打包，通过SMB/Impacket分阶段部署，.bat脚本确保Terminator运行，提取qwc_<victim ID>.exe使用–v –key –nosd加密模式，禁用恢复选项、删除影子副本和PowerShell历史，文件追加.qwCrypt扩展。

参考链接：

https://news.sophos.com/en-us/2025/12/05/sharpening-the-knife-gold-blades-strategic-evolution/

QuasarRAT木马的综合分析

近日，网络安全研究人员详细拆解了知名.NET远程访问木马（RAT）QuasarRAT的配置提取技术。不仅发现了这款恶意软件的滥用现状，更提供了一套可复现的技术方案，帮助其他安全研究人员从原始二进制文件中提取加密配置，为对抗此类Windows定向恶意软件攻击提供关键支撑。

QuasarRAT的背景可以追溯到开源社区，其最初设计用于合法的远程管理和监控目的，但近年来被恶意行为者广泛滥用，成为网络钓鱼和供应链攻击的利器。根据研究人员的研究，该木马以其模块化架构和跨平台兼容性著称，能够在Windows、Linux甚至移动设备上运行。攻击者往往通过伪装成合法软件的诱饵文件传播QuasarRAT，一旦感染成功，它便能建立持久化驻留，并通过加密通道向命令与控制（C2）服务器报告主机信息。研究人员指出，QuasarRAT的流行得益于其易于自定义的特性，黑客可以轻松修改其配置以适应特定目标，如企业网络或个人设备。这使得传统签名检测方法失效，迫使安全研究转向动态和静态分析来破解其核心秘密。

在本次分析中，研究人员从一个典型的QuasarRAT样本入手，启动了系统的逆向工程流程。首先，他们使用IDA Pro等反汇编工具对二进制文件进行静态剖析，识别出嵌入的资源节和加密例程。样本的入口点显示了一个多层混淆机制，包括字符串加密和API哈希，以规避沙箱环境检测。研究者通过交叉引用函数调用，定位到配置数据的存储位置——一个被RC4算法加密的二进制块，通常隐藏在PE文件的.data段中。解密密钥的生成过程尤为巧妙，它依赖于一个伪随机种子，该种子从系统时间和主机名派生而来，确保每次运行的配置加载都略有差异。

进一步的技术拆解聚焦于配置的解析阶段。Sekoia团队编写了一个自定义的Python脚本来模拟QuasarRAT的解密逻辑，利用SymPy库处理数学表达式，并结合自定义的RC4实现来还原明文数据。脚本首先提取加密负载，然后迭代解密循环，直至获得JSON格式的配置对象。其中包括C2服务器地址、端口号、持久化路径以及键盘记录器等模块的启用标志。研究人员强调，在这个过程中，他们遇到了一个常见陷阱：配置中嵌套的Base64编码层，如果忽略这一步，将导致解析失败。通过逐步验证样本在受控VM环境下的行为，他们确认了提取的配置与实际网络流量的一致性，例如发现一个指向云服务的备用C2域名，这暗示了攻击者的冗余设计。

这次分析的发现为网络安全社区敲响了警钟。研究人员发现，QuasarRAT的配置往往包含针对特定行业的定制payload，如金融凭证窃取或工业控制系统渗透，这大大提升了其针对性破坏力。此外，他们还分享了开源工具链的改进建议，包括集成YARA规则来自动化检测加密模式，并呼吁开发商加强RAT框架的滥用监控。最终，研究以一个警示结尾：随着开源恶意软件的兴起，配置提取已成为威胁狩猎的核心技能，只有通过持续的逆向创新，我们才能在猫鼠游戏中占据先机。

参考链接：

https://blog.sekoia.io/advent-of-configuration-extraction-part-2-unwrapping-quasarrats-configuration/

Qilin勒索软件重现并针对最新攻击图谱进行深入分析

近日，网络安全研究人员发现了具有重访多功能的Qilin勒索软件最新攻击活动，并深入剖析了这一活跃已久的勒索软件家族的演变轨迹及其最新战术、技术和程序（TTPs）。Qilin勒索软件作为一种采用“勒索软件即服务”（RaaS）模式的威胁，自2022年7月以Agenda之名首次现身以来，已迅速崛起为2025年上半年最活跃的勒索软件组织之一，甚至在第二季度超越RansomHub勒索软件组织。研究人员通过模拟真实攻击路径，帮助企业评估防御能力，并揭示了Qilin勒索软件如何从初级工具演变为高效、跨平台的破坏性武器。

Qilin勒索软件的起源可以追溯到2022年，其初始代码基于Go语言编写，主要针对Windows系统，具备基本的双重勒索功能——即加密文件并威胁泄露数据。随着攻击威胁演化，攻击者于2023年转向Rust语言重写代码，这一转变显著提升了其性能和兼容性，不仅支持Windows，还扩展到Linux和ESXi虚拟化环境。Rust的采用带来了更强的规避能力、更高效的加密机制以及模块化部署选项，便于附属组织自定义使用。到2025年，Qilin勒索软件已锁定医疗、教育和政府等关键行业作为首要目标。其中，最引人注目的案例是2024年对英国医疗实验室Synnovis的攻击，此次事件导致英国国家医疗服务体系（NHS）多家医院手术和诊断服务中断，凸显了其对公共健康的潜在破坏力。根据多家机构的跟踪分析，Qilin勒索软件的攻击链条高度模块化，强调隐蔽性和持久性，常常通过初始访问向量如鱼叉式网络钓鱼或供应链漏洞渗透网络。

在攻击技术分析方面，研究人员构建了一个名为“恶意软件仿真：Qilin勒索软件–2025-10”的攻击图谱，该图谱于10月2日首次发布。此次更新版融入了Qilin勒索软件最新的TTPs变化，旨在通过对抗性暴露验证（AEV）平台模拟完整攻击流程。技术分析过程分为三个核心阶段：持久化和横向移动、发现与防御规避，以及影响阶段。研究人员使用一个真实的Qilin勒索软件样本进行测试，部署到受控环境中，逐一验证网络和端点控制的有效性。

首先，在持久化和横向移动阶段，攻击者会通过查询注册表键值（如SystemStartOptions）检测引导模式，随后执行vssadmin.exe工具删除卷影副本，以阻断系统恢复路径。为确保长期驻留，他们利用运行/运行一次注册表键或新增的计划任务“TVInstallRestore”建立持久性。同时，Qilin勒索软件支持通过远程桌面协议（RDP）进行横向移动，快速扩散到网络其他节点。

Qilin勒索软件进入发现与防御规避阶段，会调用Windows API如GetSystemInfo和GlobalMemoryStatusEx收集系统信息，枚举服务和用户名。新增行为包括使用net use命令访问网络共享，修改EnableLinkedConnections注册表以处理映射驱动器，以及通过fsutil启用远程符号链接。这些步骤旨在绕过端点检测与响应（EDR）系统。研究人员特别强调了“自带漏洞驱动”（BYOVD）技术的使用，即加载已知漏洞驱动来禁用安全工具。此外，重启到安全模式是常见规避手段，进一步清除事件日志以抹除痕迹。

最终，在影响阶段，Qilin勒索软件的核心破坏力显现。它首先通过GetLogicalDrives和GetDriveTypeW枚举驱动器和卷，然后利用FindFirstFileW/FindNextFileW扫描文件。加密过程采用AES-256 CTR模式结合RSA-2048公钥算法，确保文件不可逆恢复，除非支付赎金。加密后，还会修改注册表设置壁纸，显示勒索信息。研究人员建议未来扩展模拟，包括使用PaExec远程执行PowerShell脚本，以及通过Get-ADComputer发现域控制器，以覆盖更多真实场景。研究人员的这一分析不仅重现了Qilin勒索软件的攻击链条，还强调了持续威胁暴露管理（CTEM）的必要性。

参考链接：

https://www.attackiq.com/2025/11/19/revisiting-qilin-ransomware/