本文深入分析了近期发现的两种恶意软件：Hijack Loader及其更新版本，以及新型恶意软件家族SHELBY。Hijack Loader通过调用栈伪造和反虚拟机检查等新功能，增强了逃避检测和建立持久性的能力。SHELBY则利用GitHub进行命令与控制，并通过钓鱼邮件传播，对目标组织造成威胁。此外，还提到了Emmenhtal Loader通过7-Zip文件传播SmokeLoader的情况。这些恶意软件的出现，反映了网络攻击手段的不断进化，对网络安全提出了新的挑战。

🕵️‍♀️ Hijack Loader更新版：该恶意软件加载器增加了调用栈伪造技术，用于隐藏API和系统调用的来源，类似于CoffeeLoader的策略。同时，它还新增了反虚拟机检查模块，以检测恶意软件分析环境和沙箱，增加了分析和检测的难度。

📧 SHELBY恶意软件：该新型恶意软件家族利用GitHub进行命令与控制、数据外泄和远程控制。攻击链始于钓鱼邮件，邮件中包含一个.NET二进制文件，用于执行DLL加载器。加载器与GitHub通信，提取解密密钥，解密后门有效载荷。

🔑 SHELBY的C2通信：SHELBYC2后门解析GitHub存储库中的命令，执行下载/上传文件、加载.NET二进制文件和运行PowerShell命令等操作。值得注意的是，C2通信使用个人访问令牌（PAT）提交到私有存储库，这使得任何拥有PAT的人都可以获取攻击者发送的命令并访问受害机器的命令输出。

📦 SmokeLoader的传播：Emmenhtal Loader（PEAKLIGHT）被用于通过支付为主题的网络钓鱼邮件传播SmokeLoader。SmokeLoader样本使用了.NET Reactor，这是一种用于混淆和打包的商业.NET保护工具，具有强大的反分析机制，反映了恶意软件家族的演变趋势。

HackerNews 编译，转载请注明出处：

网络安全研究人员发现了一种名为“Hijack Loader”的恶意软件加载器的更新版本，该版本增加了新功能以逃避检测并在受感染系统中建立持久性。

Zscaler ThreatLabz 研究员穆罕默德·伊尔凡·瓦表示：“Hijack Loader 推出了一种新模块，通过调用栈伪造来隐藏函数调用（例如API调用和系统调用）的来源。”此外，“Hijack Loader 增加了一个新模块，用于执行反虚拟机检查，以检测恶意软件分析环境和沙箱。”

Hijack Loader 最初于2023年被发现，能够传递第二阶段的有效载荷，例如信息窃取恶意软件。它还配备了多种模块，用于绕过安全软件和注入恶意代码。Hijack Loader 在网络安全社区中还被称为DOILoader、GHOSTPULSE、IDAT Loader 和 SHADOWLADDER。

2024年10月，HarfangLab 和 Elastic Security Labs 详细描述了利用合法代码签名证书以及臭名昭著的 ClickFix 策略传播恶意软件的 Hijack Loader 活动。

与前代产品相比，Hijack Loader 的最新版本增加了调用栈伪造作为逃避检测的手段，以隐藏API和系统调用的来源。这种方法最近也被另一种名为 CoffeeLoader 的恶意软件加载器采用。

“该技术利用 EBP 指针链遍历堆栈，并通过用伪造的堆栈帧替换实际堆栈帧来隐藏恶意调用的存在。”Zscaler 表示。

与之前的版本一样，Hijack Loader 利用 Heaven’s Gate 技术执行64位直接系统调用以进行进程注入。其他更改包括更新黑名单进程列表，新增“avastsvc.exe”（Avast 防病毒软件的一个组件），延迟执行时间五秒。

该恶意软件还增加了两个新模块，分别是 ANTIVM（用于检测虚拟机）和 modTask（通过计划任务设置持久性）。研究结果表明，Hijack Loader 仍在被其运营者积极维护，目的是增加分析和检测的难度。

SHELBY 恶意软件利用 GitHub 进行命令与控制

与此同时，Elastic Security Labs 揭示了一个名为 SHELBY 的新型恶意软件家族，该家族利用 GitHub 进行命令与控制（C2）、数据外泄和远程控制。相关活动被追踪为 REF8685。

攻击链始于一封网络钓鱼邮件，邮件中包含一个 ZIP 压缩包，其中包含一个 .NET 二进制文件，用于通过 DLL 侧加载执行一个名为 SHELBYLOADER（“HTTPService.dll”）的 DLL 加载器。这些邮件通过目标组织内部发送，投递给了伊拉克一家电信公司。

随后，加载器与 GitHub 建立通信，从攻击者控制的存储库中名为“License.txt”的文件中提取一个特定的48字节值。该值用于生成 AES 解密密钥，解密主后门有效载荷（“HTTPApi.dll”）并将其加载到内存中，而不会在磁盘上留下可检测的痕迹。

“SHELBYLOADER 利用沙箱检测技术来识别虚拟化或监控环境。”Elastic 表示，“一旦执行，它会将结果发送回 C2。这些结果被封装在日志文件中，详细说明每种检测方法是否成功识别出沙箱环境。”

SHELBYC2 后门则解析另一个名为“Command.txt”的文件中列出的命令，以从 GitHub 存储库下载/上传文件、反射加载 .NET 二进制文件以及运行 PowerShell 命令。值得注意的是，C2 通信通过使用个人访问令牌（PAT）提交到私有存储库来实现。

“恶意软件的设置方式意味着，任何拥有 PAT（个人访问令牌）的人都可以理论上获取攻击者发送的命令，并访问任何受害机器上的命令输出。”该公司表示，“这是因为 PAT 令牌嵌入在二进制文件中，任何获得它的人均可使用。”

Emmenhtal 通过 7-Zip 文件传播 SmokeLoader

此外，以支付为主题的网络钓鱼邮件还被观察到用于传播名为 Emmenhtal Loader（也称 PEAKLIGHT）的恶意软件加载器家族，该家族充当部署另一种名为 SmokeLoader 的恶意软件的渠道。

GDATA 表示：“在这一 SmokeLoader 样本中，一个值得注意的技术是使用了 .NET Reactor，这是一种用于混淆和打包的商业 .NET 保护工具。”

“尽管 SmokeLoader 历史上曾使用过 Themida、Enigma Protector 和自定义加密器等打包器，但使用 .NET Reactor 符合其他恶意软件家族（尤其是窃密器和加载器）的趋势，因为其具有强大的反分析机制。”

 

---

消息来源：The Hacker News；

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文