泰国政府官员成为了一个新活动的目标,该活动利用一种名为 DLL 侧载的技术来传播一种以前未被记录的被称为 “Yokai ”的后门程序。Netskope 安全效率团队高级工程师 Nikhil Hegde 告诉《黑客新闻》:“根据诱饵的性质,威胁行为者的目标是泰国官员。Yokai后门本身不受限制,可用于攻击任何潜在目标。”攻击链的起点是一个 RAR 存档,其中包含两个以泰语命名的 Windows 快捷方式文件,分别翻译为 “United States Department of Justice.pdf” 和 “United States government requests international cooperation in criminal matters.docx”。尽管 Hegde 推测很可能是鱼叉式网络钓鱼,但由于采用了诱饵,而且 RAR 文件一直被用作网络钓鱼电子邮件中的恶意附件,因此目前尚不清楚用于传输有效载荷的确切初始载体。启动快捷方式文件会分别打开一个诱饵 PDF 和 Microsoft Word 文档,同时还会在后台隐蔽地投放一个恶意可执行文件。这两个诱骗文件都与 Woravit Mektrakarn 有关,他是泰国人,因与一名墨西哥移民的失踪有关而被美国通缉。Mektrakarn 于 2003 年被控谋杀,据说已逃往泰国。就可执行文件而言,它的设计目的是再投放三个文件: 一个与 iTop Data Recovery 应用程序相关的合法二进制文件(“IdrInit.exe”)、一个恶意 DLL(“ProductStatistics3.dll”)和一个包含由攻击者控制的服务器发送的信息的 DATA 文件。在下一阶段,“IdrInit.exe ”被滥用来侧载 DLL,最终导致后门的部署。Yokai 负责在主机上设置持久性,并连接到命令与控制 (C2) 服务器,以接收命令代码,从而生成 cmd.exe,并在主机上执行 shell 命令。Zscaler威胁实验室(Zscaler ThreatLabz)透露,他们发现了一个利用Node.js编译的Windows可执行文件传播加密货币矿机和信息窃取程序(如XMRig、Lumma和Phemedrone Stealer)的恶意软件活动。这些流氓应用程序的代号为 NodeLoader。这些攻击利用嵌入在 YouTube 视频描述中的恶意链接,将用户引向 MediaFire 或虚假网站,敦促他们下载伪装成视频游戏黑客的 ZIP 压缩包。攻击的最终目的是解压缩并运行 NodeLoader,然后下载一个 PowerShell 脚本,负责启动最后阶段的恶意软件。Zscaler 表示:“NodeLoader 使用了一个名为 sudo-prompt 的模块,这是 GitHub 和 npm 上的一个公开工具,用于权限升级。威胁者采用社交工程和反规避技术来传播 NodeLoader,而不被发现。”这也是继传播市售 Remcos RAT 的网络钓鱼攻击激增之后,威胁者通过使用 Visual Basic Script (VBS) 脚本和 Office Open XML 文档作为触发多阶段进程的启动平台,对感染链进行了改造。在一组攻击中,执行 VBS 文件会导致高度混淆的 PowerShell 脚本下载临时有效载荷,最终将 Remcos RAT 注入合法的 Microsoft .NET 可执行文件 RegAsm.exe。另一个变种需要使用 Office Open XML 文档加载一个 RTF 文件,该文件易受 CVE-2017-11882 的影响(CVE-2017-11882 是 Microsoft Equation Editor 中的一个已知远程代码执行漏洞),以获取一个 VBS 文件,然后继续获取 PowerShell,以便将 Remcos 有效载荷注入 RegAsm.exe 的内存中。值得指出的是,这两种方法都避免将文件写入磁盘,而是将其加载到有效进程中,故意逃避安全产品的检测。McAfee 实验室的研究人员说:“由于这种远程访问木马继续通过钓鱼电子邮件和恶意附件瞄准消费者,因此采取积极主动的网络安全措施比以往任何时候都更为重要。”
