在疫情之前，熱愛旅行的你可能在波光粼粼的沙灘邊、可能在異域風情的叢林中、可能在白雪皚皚的山峰上。但自從疫情來襲，旅行似乎已經(jīng)成為了一種奢望。當下，各國政府正在逐漸放松管控限制，包括取消旅行限制。正是大家對旅行的熱切期盼空前高漲，攻擊者也借助這種議題來傳播惡意軟件。本文介紹幾例最新發(fā)現(xiàn)的此類攻擊。

AsyncRAT - 1

安全研究人員最近發(fā)現(xiàn)了一個名為 itinerary.zip的惡意文件，該文件部署在 dc5b-163-123-142-137.ngrok.io上。

壓縮文件中包含一個名為 Itinerary.pdf_____________________________________________.exe的文件，該文件是一個偽裝成 PDF 文件的可執(zhí)行文件。將可執(zhí)行文件擴展名隱藏在超長的文件名后，是攻擊者持續(xù)多年的技巧。研究人員猜測，攻擊者是通過旅行相關的電子郵件或者網(wǎng)站引誘受害者下載惡意文件的。

運行惡意文件后，就會安裝 .NET 編寫的遠控木馬 AsyncRAT，其 C&C 服務器為 znets.ddns.net和 dnets.ddns.net。為阻礙分析，惡意樣本使用了多個 .NET 混淆工具，例如 Xenocode、Babel、Yano、DotNetPatcher、CryptoObfuscator、Dotfuscator、SmartAssembly、Goliath、NineRays 和 198 Protector V2。

該惡意域名下，還部署了 travel_details.iso、activity_and_dates.iso 和 Itinerary.exe 文件。這些惡意樣本也都是連接到相同 C&C 服務器的 AsyncRAT 變種。

AsyncRAT - 2

自從 Windows 8 開始，系統(tǒng)原生支持 ISO 文件，這也為攻擊者提供了另一個攻擊渠道。

另外，MOTW 強制要求下載文件必須在安全位置運行。帶有 MOTW 標記的文件，需要經(jīng)過額外的安全檢查，如調(diào)用 Microsoft Defender 的 SmartScreen 或者其他殺軟引擎掃描。而 ISO 文件格式可以避免被 MOTW 標記，也就能躲開掃描（T1553.005）。

一旦掛載 ISO 文件，就可以執(zhí)行其中的 EXE 文件觸發(fā) AsyncRAT。

掛載文件

例如另一個 AsyncRAT 樣本 Booking details.exe于 2022 年 2 月上旬被發(fā)現(xiàn)。所有這些樣本都以旅行為主題，這意味著攻擊者主要針對旅行者發(fā)起攻擊。

Netwire RAT

Flight_Travel_Intinery_Details.js被部署在 Discord CDN 上，根據(jù)文件名來看，該 JavaScript 文件可能是通過電子郵件中的惡意鏈接或者與旅行主題相關的附件文檔分發(fā)的。

JavaScript 文件最終會釋放 Netwire RAT 的變種，C&C 服務器為 kingshakes1.linkpc.net。該 C&C 服務器最遲在 2021 年 5 月以來就已經(jīng)被 Netwire RAT 所使用。

Quasar RAT

研究人員發(fā)現(xiàn)一個針對哥倫比亞軍事組織的魚叉郵件攻擊，郵件主題為 Solicitud de Reserva para Mayo 2022（意為“2022 年 5 月的預訂請求”）。

電子郵件

電子郵件中表示想要預定五間客房，入住一周。在附件中提供了預定詳情。本次攻擊中 ISO 文件中使用的是 Quasar RAT 遠控木馬，該木馬支持：

• 鍵盤記錄
• 從 Web 瀏覽器/FTP 客戶端竊取密碼
• 上傳/下載文件
• 執(zhí)行文件
• 收集系統(tǒng)信息
• 遠程桌面
• 編輯注冊表

掛載文件

Quasar RAT 遠控木馬的 C&C 服務器為 opensea-user-reward.serveusers.com，根據(jù)遙測沒有發(fā)現(xiàn)任何與該域名的連接，這可能表明攻擊并未成功。

與該木馬共用 C&C 服務器的另一個 Quasar RAT 木馬，是在發(fā)現(xiàn)針對哥倫比亞軍隊攻擊的第二天在中國香港發(fā)現(xiàn)的。

結論

本文中介紹的攻擊都并不復雜，但是攻擊者利用人們在疫情隔離后熱切期盼旅行的心情進行攻擊。