使用 DLL 侧加载技术的 Yokai 后门活动瞄准泰国官员

泰国政府官员成为新一轮攻击活动的目标，该攻击活动利用一种名为 DLL 侧载的技术来传播一种以前未被记录的被称为 Yokai 的后门。"根据诱饵的性质，威胁行为者的目标是泰国官员，"Netskope 安全效率团队高级工程师 Nikhil Hegde 告诉《黑客新闻》。 "攻击链的起点是一个 RAR 存档，其中包含两个以泰语命名的 Windows 快捷方式文件，分别翻译为 "United States Department of Justice.pdf" 和 "United States government requests international cooperation in criminal matters.docx"。

虽然 Hegde 推测很可能是鱼叉式网络钓鱼，因为它使用了诱饵，而且 RAR 文件曾被用作网络钓鱼电子邮件中的恶意附件。启动快捷方式文件会分别打开一个诱饵 PDF 和 Microsoft Word 文档，同时还会在后台隐蔽地投放一个恶意可执行文件。这两个诱骗文件都与 Woravit Mektrakarn 有关，他是泰国人，因与一名墨西哥移民的失踪有关而被美国通缉。 Mektrakarn 于 2003 年被指控犯有谋杀罪，据说他已逃往泰国。可执行文件的设计目的是再投放三个文件：一个与 iTop Data Recovery 应用程序相关的合法二进制文件（"IdrInit.exe"）、一个恶意 DLL（"ProductStatistics3.dll"）和一个包含由攻击者控制的服务器发送的信息的 DATA 文件。在下一阶段，"IdrInit.exe "被滥用来侧载 DLL，最终导致后门的部署。

Yokai 负责在主机上设置持久性，并连接到命令与控制 (C2) 服务器，以接收命令代码，从而在主机上生成 cmd.exe 和执行 shell 命令。 Zscaler ThreatLabz 透露，他们发现了一个恶意软件活动，该活动利用 Node.js 编译的 Windows 可执行文件分发加密货币矿机和信息窃取程序，如 XMRig、Lumma 和 Phemedrone Stealer。这些流氓应用程序的代号为 NodeLoader。这些攻击采用了嵌入在 YouTube 视频描述中的恶意链接，将用户引向 MediaFire 或虚假网站，敦促他们下载伪装成视频游戏黑客的 ZIP 压缩包。攻击的最终目的是解压缩并运行 NodeLoader，然后下载一个 PowerShell 脚本，负责启动最后阶段的恶意软件。

"Zscaler 表示："NodeLoader 使用了一个名为 sudo-prompt 的模块，这是 GitHub 和 npm 上的一个公开工具，用于权限升级。 Zscaler 说："威胁者利用社交工程和反规避技术，在未被发现的情况下发布 NodeLoader。"此前，发布市售 Remcos RAT 的网络钓鱼攻击激增，威胁者通过使用 Visual Basic 脚本 (VBS) 和 Office Open XML 文档作为触发多阶段进程的启动器，对感染链进行了改造。

在一组攻击中，执行 VBS 文件会导致高度混淆的 PowerShell 脚本下载临时有效载荷，最终将 Remcos RAT 注入合法的 Microsoft .NET 可执行文件 RegAsm.exe。

另一个变种是使用 Office Open XML 文档加载一个 RTF 文件，该文件容易受到 CVE-2017-11882 的攻击，CVE-2017-11882 是 Microsoft Equation Editor 中的一个已知远程代码执行漏洞，该文件会获取一个 VBS 文件，然后继续获取 PowerShell，以便将 Remcos 有效载荷注入 RegAsm.exe 的内存中。

值得指出的是，这两种方法都避免将文件写入磁盘，而是将其加载到有效进程中，蓄意逃避安全产品的检测。 McAfee 实验室的研究人员说："由于这种远程访问木马继续通过钓鱼电子邮件和恶意附件瞄准消费者，因此采取主动网络安全措施的必要性从未像现在这样重要。

信息来源：https://thehackernews.com/2024/12/thai-officials-targeted-in-yokai.html

发表回复 取消回复

发表回复取消回复