导语:黑客利用LNK(Windows快捷方式)文件传播恶意软件,因为它们能够携带恶意代码,在单击快捷方式时自动执行。
黑客利用LNK(Windows快捷方式)文件传播恶意软件,因为它们能够携带恶意代码,在单击快捷方式时自动执行。尽管LNK文件表面看似无害,但它们实际上可以触发恶意软件下载或其他恶意操作,因此成为Windows系统上有效的初始感染方式。
最近,ASEC网络安全研究人员发现,威胁行为者积极利用武器化的Windows快捷方式文件来部署无文件的“RokRat”恶意软件。
无文件的RokRat恶意软件
AhnLab 证实,RokRat 恶意软件一直在针对韩国用户,尤其是与朝鲜问题相关的用户。已知的恶意LNK文件名称包括:
· National Information Academy 8th Integrated Course Certificate (Final).lnk
· Gate access roster 2024.lnk
· Northeast Project (US Congressional Research Service (CRS Report).lnk
· Facility list.lnk
.webp)
已确认的 LNK 文件属性(来源 - ASEC)
这些恶意LNK文件通过CMD执行PowerShell,与去年的RokRAT样本相似。值得注意的是,它们在LNK文件中捆绑了以下内容以增加社会工程诱惑:
· 合法文件
· 脚本
· 恶意PE负载
.webp)
运营结构(来源 – ASEC)
当LNK文件运行时,它会使用PowerShell创建一个合法文档诱饵,然后在公共文件夹中创建三个文件(find.bat、search.dat、viewer.dat)。find.bat运行search.dat,它以无文件方式执行viewer.dat中的RokRAT后门有效负载。
RokRAT能够收集用户数据并接收命令,并将窃取的信息泄露到攻击者的云服务器(如pCloud、Yandex和DropBox),同时将请求伪装成Googlebot。利用无文件技术的多阶段执行过程旨在逃避检测。
有关所使用的云 URL 的详细信息(来源 - ASEC)
RokRAT能够运行命令、显示目录、删除启动文件、收集启动/应用程序数据/最近的文件列表以及收集系统和网络信息。攻击者在渗透到云基础设施(例如伪装成 Googlebot 的 pCloud)之前,被盗数据会存放在临时文件夹中。已知的攻击者电子邮件地址包括[email protected]、[email protected]、[email protected]和[email protected]。
威胁行为者经常瞄准与韩国统一、军事或教育部门相关的目标,涉及这些领域的组织应格外警惕此类性质的持续攻击。
IoCs
· b85a6b1eb7418aa5da108bc0df824fc0
· 358122718ba11b3e8bb56340dbe94f51
· 35441efd293d9c9fb4788a3f0b4f2e6b
· 68386fa9933b2dc5711dffcee0748115
· bd07b927bb765ccfc94fadbc912b0226
· 6e5e5ec38454ecf94e723897a42450ea
· 3114a3d092e269128f72cfd34812ddc8
· bd98fe95107ed54df3c809d7925f2d2c
本文翻译自:https://gbhackers.com/weaponized-windows-fileles-rokrat-malware/如若转载,请注明原文地址
