研究人员观察到了一种新的多阶段攻击，其传播了诸如 Agent Tesla 变种、Remcos RAT 和 XLoader 等恶意软件家族。

“攻击者越来越依赖于这种复杂的传播机制来逃避检测，绕过传统的沙盒环境，并确保有效载荷能够成功传递和执行。”Palo Alto Networks Unit 42 的研究员 Saqib Khanzada 在关于这次攻击活动的技术报告中如此说道。

攻击的起始点是一封具有欺骗性的电子邮件，伪装成一份订单请求，附带一个恶意的 7-zip 压缩文件附件，其中包含一个经过编码的 JavaScript（.JSE）文件。

在 2024 年 12 月观察到的这封网络钓鱼邮件中，虚假地声称已经完成了一笔付款，并敦促收件人查看附件中的订单文件。启动该 JavaScript 有效载荷会触发感染序列，这个文件充当了从外部服务器下载 PowerShell 脚本的下载器。

反过来，这个脚本中包含一个经过 Base64 编码的有效载荷，随后会被解密，写入 Windows 临时目录并执行。这时有趣的事情发生了：该攻击会导致使用 .NET 或 AutoIt 编译的下一阶段 dropper。

如果是一个.NET 可执行文件，那么加密的嵌入有效载荷 —— 一种被怀疑是 Snake Keylogger 或 XLoader 的 Agent Tesla 变种 —— 会被解码并注入到正在运行的 “RegAsm.exe” 进程中，这是在过去 Agent Tesla 的攻击活动中观察到的一种技术。

另一方面，用 AutoIt 编译的可执行文件引入了额外的一层，试图进一步增加分析的难度。该可执行文件中的 AutoIt 脚本包含一个加密的有效载荷，负责加载最终的 shellcode，导致.NET 文件被注入到 “RegSvcs.exe” 进程中，最终部署了 Agent Tesla。

“这表明攻击者采用了多种执行路径来提高攻击的弹性并逃避检测，” Khanzada 指出，“攻击者的重点仍然放在多层攻击链上，而不是复杂的混淆技术上。”

“通过堆叠简单的阶段，而不是专注于高度复杂的技术，攻击者可以创建具有弹性的攻击链，使分析和检测变得更加复杂。”

IronHusky 传播新版本 MysterySnail RAT

与此同时，卡巴斯基（Kaspersky）详细描述了一场攻击活动，攻击者使用一种名为 MysterySnail RAT 远程控制木马的新版本，目标是位于蒙古和俄罗斯的政府组织。该活动被认为是由一个被称为 IronHusky 的威胁行为者实施的。

IronHusky 至少从 2017 年起就开始活跃，俄罗斯网络安全公司曾在 2021 年 10 月记录过它，当时它利用了 CVE-2021-40449 这个零日漏洞（一个 Win32k 权限提升漏洞）来传播 MysterySnail RAT 远程控制木马。

感染源于一个恶意的 Microsoft 管理控制台（MMC）脚本，它模仿了蒙古国家土地局的一份 Word 文档（“co-financing letter_alamgac”）。这个脚本旨在获取一个 ZIP 压缩文件，其中包含一个诱饵文档、一个合法的二进制文件（“CiscoCollabHost.exe”）和一个恶意的动态链接库（“CiscoSparkLauncher.dll”）。

目前还不完全清楚这个 MMC 脚本是如何分发给目标对象的，不过诱饵文档的性质表明它可能是通过网络钓鱼活动传播的。

正如在许多攻击中所观察到的那样，“CiscoCollabHost.exe” 被用来加载这个动态链接库，这是一个中间后门，能够利用开源的管道服务器项目与攻击者控制的基础设施进行通信。

这个后门支持运行命令 shell、下载 / 上传文件、枚举目录内容、删除文件、创建新进程以及终止自身等功能。然后，这些命令被用来加载 MysterySnail RAT。

该恶意软件的最新版本能够接受近 40 条命令，使其能够执行文件管理操作、通过 cmd.exe 执行命令、生成和终止进程、管理服务，并通过专用的动态链接库模块连接到网络资源。

卡巴斯基表示，在受影响的公司采取预防措施阻止入侵后，他们观察到攻击者投放了一个 “重新利用且更轻量级版本” 的 MysterySnail ，代号为 MysteryMonoSnail。

“这个版本的功能没有 MysterySnail RAT 远程控制木马的完整版本那么多，” 该公司指出，“它被编程为只有 13 条基本命令，用于列出目录内容、将数据写入文件，以及启动进程和远程shell。”