Fortinet 的 FortiGuard 实验室发现了利用 Remcos RAT(远程管理工具)新变种的复杂网络钓鱼活动。该活动以一封包含恶意 Excel 文档的钓鱼电子邮件开始,该文档利用了 CVE-2017-0199 漏洞,允许攻击者在受害者的设备上远程执行代码。Fortinet 的报告指出:”Remcos 是一种商用 RAT……然而,威胁行为者滥用 Remcos 收集受害者的敏感信息,并远程控制他们的计算机以实施进一步的恶意行为。一旦打开所附的 Excel 文件,CVE-2017-0199 漏洞就会激活,悄无声息地下载一个 HTA(HTML 应用程序)文件。“HTA文件是一个由Windows本地应用程序(mshta.exe)执行的HTML应用程序文件,”Fortinet的报告详细指出,该文件随后会下载一个名为dllhost.exe的文件到受害者的设备上。该文件用多种语言启动一系列脚本,包括 JavaScript、VBScript 和 PowerShell,以隐藏恶意代码并逃避检测。一旦 dllhost.exe 被执行,它就会启动进程空洞化,这是一种将恶意代码注入新创建的进程 Vaccinerende.exe 的技术。该进程会隐藏代码,使其无法被标准监控工具发现。据 Fortinet 称,“恶意代码执行进程空洞化,将自己放入一个新创建的 Vaccinerende.exe 进程中”–这种技术增强了攻击的隐蔽性。为了保持持久性,恶意软件在 Windows 注册表中创建了一个自动运行条目,使其即使在系统重新启动后也能重新激活。设置完成后,恶意软件会解密并完全在内存中运行 Remcos 有效载荷,从而避免了可能引起怀疑的传统文件存储方式。然后,Remcos RAT 会连接到一个命令与控制(C2)服务器,发送有关受害者系统的数据,如 Fortinet 所描述的 “处理器信息、内存状态、用户权限级别以及 C&C 服务器的 IP 地址”。Remcos 的功能扩展到一系列间谍和控制功能,从键盘记录和截屏到收集运行进程列表和控制受害者设备上的程序。正如 Fortinet 指出的那样,Remcos 可以执行 “来自服务器的控制命令数据,然后在受害者的设备上执行相应的操作”,这表明了它在各种情况下的适应性。为了保持隐蔽性,该活动采用了先进的反分析方法,包括定向异常处理、动态 API 调用和反调试技术。Fortinet 强调了 “它如何对多个 API 使用 API 挂钩技术 ”来逃避检测并阻止分析工具监控其行为。
