Cyble 研究与情报实验室(CRIL)发现了一场针对德国组织的持续网络攻击活动,该活动采用了复杂的战术,如 DLL 侧载、代理和部署 Sliver 植入(一种用于恶意目的的开源红客框架)。攻击始于一封鱼叉式网络钓鱼电子邮件,其中包含一个名为 Homeoffice-Vereinbarung-2025.7z 的压缩归档文件。解压缩后,该压缩文件会显示一个欺骗性快捷方式 (LNK) 文件以及其他隐藏组件,包括恶意和合法 DLLDAT 文件中的加密 shellcode模仿合法远程工作协议的诱饵 PDF 文件。诱骗文件是一份用德语书写的家庭办公协议,作为现有雇佣合同的补充协议,以德国的组织为目标。感染链 | 来源:CRIL伪装成 PDF 文件的 LNK 文件会触发 cmd.exe 将文件复制到新创建的 %localappdata%\InteI 目录中。它执行 wksprt.exe(一个合法的 Windows 可执行文件)来侧载恶意 IPHLPAPI.dll。恶意 DLL 会将合法函数调用转发到重命名的真实 DLL IPHLPLAPI.dll,从而在执行恶意有效负载的同时确保应用程序行为正常。恶意 DLL 会使用 CryptAcquireContextW 和 CryptDecrypt 等加密 API 解密存储在 DAT 文件中的 shellcode,最终部署 Sliver 植入程序。植入程序会连接到托管在technikzwerg[.]de等域的远程服务器,使攻击者能够执行进一步的恶意操作。CRIL 的分析表明,该病毒与 APT29 的战术相似,在以前的攻击活动中使用过 DLL 侧载。然而,DLL 代理的加入代表了一种新的演变。该活动的多阶段方法及其对规避的关注给传统检测系统带来了挑战。不过,CRIL 已在其 GitHub 存储库中发布了 Yara 和 Sigma 规则,以帮助识别恶意活动。针对德国组织的 Sliver 植入活动表明,威胁行为者的手段越来越高明。CRIL 强调:“通过采用 DLL 侧载、DLL 代理、shellcode 注入和 Sliver 框架等高级规避技术,攻击者有效地绕过了传统的安全措施。”
