HackerNews 编译,转载请注明出处:
网络安全研究人员发现,RomCom RAT 背后的威胁行为体与近期传播名为 TransferLoader 的加载器的攻击团伙之间存在战术层面的高度相似性。企业安全公司 Proofpoint 将 TransferLoader 相关活动追踪至代号为 UNK_GreenSec 的团伙,而 RomCom RAT 的幕后黑手则被标记为 TA829(又称 CIGAR、Nebulous Mantis、Storm-0978 等)。
Proofpoint 在调查 TA829 时意外发现了 UNK_GreenSec,指出两者使用“异常相似的基础设施、投递手法、登录页面及邮件诱饵主题”。TA829 作为与俄罗斯有关联的混合型黑客组织,兼具间谍活动与牟利攻击能力,曾利用 Mozilla Firefox 和 Microsoft Windows 的零日漏洞传播 RomCom RAT。今年早些时候,PRODAFT 披露该组织通过防弹主机、离地攻击(LOTL)和加密 C2 通信规避检测。
TransferLoader 最初由 Zscaler ThreatLabz 在 2025 年 2 月针对某美国律所的 Morpheus 勒索软件攻击中记录。Proofpoint 发现,TA829 和 UNK_GreenSec 的钓鱼活动均依赖部署在入侵 MikroTik 路由器上的 REM Proxy 服务作为上游基础设施(入侵手段未知)。这些代理设备可能被出租用于流量中继,攻击者借此将流量转发至新注册的免费邮箱账户,再向目标发送钓鱼邮件。
邮件发件人地址格式高度相似(如
ximajazehox333@gmail.com 和 hannahsilva1978@ukr.net),表明攻击者可能使用自动化工具批量生成并投递钓鱼邮件。邮件正文或 PDF 附件中嵌入的链接通过 Rebrandly 多次跳转,最终指向伪造的 Google Drive 或 OneDrive 页面,同时过滤沙箱或低价值目标。此时攻击链分化为两条路径:
UNK_GreenSec 将受害者重定向至基础设施,最终投递 TransferLoader;
TA829 则投放名为 SlipScreen 的恶意软件。
SlipScreen 作为第一阶段加载器,会检查 Windows 注册表(
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs)确认目标计算机至少有 55 个近期文档,随后解密并加载 shellcode 至内存,与远程服务器通信。后续感染链会部署 MeltingClaw(又名 DAMASCENED PEACOCK)或 RustyClaw 下载器,最终释放 ShadyHammock(用于启动 RomCom RAT 的更新版 SingleCamper/SnipBot)或 DustyHammock(具备系统侦察及从 IPFS 下载额外载荷的能力)。TransferLoader 相关活动则伪装成招聘机会,诱导受害者点击“PDF 简历”链接,实际从 IPFS 下载 TransferLoader。其核心目标是隐蔽传播更多恶意软件,如 Metasploit 或 Morpheus 勒索软件(HellCat 勒索软件的变种)。与 TA829 不同,TransferLoader 的 JavaScript 组件会将用户重定向至同一服务器的不同 PHP 端点,以便进行服务器端过滤。UNK_GreenSec 还使用动态登录页面(通常与 OneDrive 伪造无关),最终将用户引导至存储于 IPFS 的最终载荷。
TA829 与 UNK_GreenSec 的战术重叠引发四种可能性:
两团伙从同一第三方供应商采购基础设施;
TA829 自行获取基础设施并转供 UNK_GreenSec 使用;
UNK_GreenSec 作为基础设施提供商,通常向 TA829 提供服务,但临时自用传播 TransferLoader;
两团伙实为同一组织,TransferLoader 是其新增武器库。
Proofpoint 指出:“当前威胁环境中,网络犯罪与间谍活动的界限持续模糊,犯罪集团与国家级攻击者的区分特征逐渐消失。活动特征、指标及行为模式的趋同使得归因和团伙划分愈发困难。尽管尚无确凿证据证明 TA829 与 UNK_GreenSec 的确切关系,但两者间存在高度关联的可能性极大。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
