在卡巴斯基实验室的一份详细报告中,“Horns&Hooves ”活动利用双重 RAT 有效载荷–NetSupport RAT 和 BurnsRAT–入侵了各行各业的系统,成为网络犯罪分子独创性的一个显著实例。该活动以苏联讽刺小说《金牛》(The Golden Calf)中虚构的欺诈组织命名,自 2023 年 3 月启动以来,主要针对俄罗斯的个人、零售商和服务企业。
恶意电子邮件附件的形式是 ZIP 档案,其中包含伪装成商业文件的 JScript 文件,如 “LLC <公司>的建议和价格请求 ”或 “采购请求……”。这些附件通常包含诱饵文档–有时是非常规的 PNG 图像,这是一种用于嵌入和发送有效载荷而不引起怀疑的策略。
PNG 格式的诱饵文档 | 图片: 卡巴斯基实验室
卡巴斯基实验室指出:“PNG 图像是一种方便的容器,因为即使添加了有效载荷,它们也能继续正确显示。”
该活动的主要有效载荷是合法的远程管理工具 NetSupport Manager (NSM)(已改名为 NetSupport RAT)和一个名为 BurnsRAT 的自定义变种。这些工具为攻击者提供了对被入侵系统的广泛控制,利用其固有的合法性逃避检测。
NetSupport RAT 因其多功能性而成为网络黑客的最爱,它是利用巧妙的感染链部署的。脚本下载 BAT 文件或 PowerShell 脚本,安装 NetSupport 组件(如 client32.exe),配置注册表项以实现持久性,并连接到命令控制服务器。报告指出:“当运行 NetSupport RAT 时,它会与攻击者的服务器建立连接。”
BurnsRAT是一种不太知名但同样危险的工具,在某些情况下与NetSupport RAT一起发布或代替NetSupport RAT发布。该变种利用 DLL 侧载技术劫持合法进程。其有效载荷包括用于远程桌面操作、数据窃取和勒索软件安装的实用程序。
“攻击者分发的 RMS 构建也被称为 BurnsRAT,”这突出表明它具有双重用途,既能促进远程访问,又能充当进一步攻击的发射台。
B 版感染链 | 图片: 卡巴斯基实验室
Horns&Hooves 活动展示了其感染链的适应性,随着时间的推移观察到多个版本的脚本。早期的迭代依赖于 HTA 文件,而后来的版本则采用了带有嵌入式有效载荷的 JScript。
耐人寻味的是,Horns&Hooves 活动与 TA569(又称 Mustard Tempest)的相关活动有相似之处。卡巴斯基实验室发现,Horns&Hooves 中使用的配置文件与之前归因于 TA569 的配置文件几乎完全相同,这加深了人们对共享来源的怀疑。
报告还说:“数值匹配这一事实表明,攻击者使用相同的安全密钥访问 NetSupport 客户端。”
Horns&Hooves 体现了利用合法工具达到恶意目的这一日益增长的趋势。通过将恶意软件伪装成可信软件,攻击者使检测和响应工作复杂化。
网络安全团队必须采取多层防御措施,包括强大的电子邮件过滤、软件行为分析和定期补丁管理。了解 Horns&Hooves 等活动对于应对不断变化的威胁至关重要。
文章原文链接:https://www.anquanke.com/post/id/302381