利用武器化的 Windows 快捷方式 进行无文件 RokRat 恶意软件的部署
2024-6-25 11:0:0 Author: www.4hou.com(查看原文) 阅读量:17 收藏

山卡拉 新闻 刚刚发布

2186

收藏

导语:黑客利用LNK(Windows快捷方式)文件传播恶意软件,因为它们能够携带恶意代码,在单击快捷方式时自动执行。

77.jpg

黑客利用LNK(Windows快捷方式)文件传播恶意软件,因为它们能够携带恶意代码,在单击快捷方式时自动执行。尽管LNK文件表面看似无害,但它们实际上可以触发恶意软件下载或其他恶意操作,因此成为Windows系统上有效的初始感染方式。

最近,ASEC网络安全研究人员发现,威胁行为者积极利用武器化的Windows快捷方式文件来部署无文件的“RokRat”恶意软件。

无文件的RokRat恶意软件

AhnLab 证实,RokRat 恶意软件一直在针对韩国用户,尤其是与朝鲜问题相关的用户。已知的恶意LNK文件名称包括:

· National Information Academy 8th Integrated Course Certificate (Final).lnk

· Gate access roster 2024.lnk

· Northeast Project (US Congressional Research Service (CRS Report).lnk

· Facility list.lnk

已确认的 LNK 文件属性(来源 - ASEC)

这些恶意LNK文件通过CMD执行PowerShell,与去年的RokRAT样本相似。值得注意的是,它们在LNK文件中捆绑了以下内容以增加社会工程诱惑:

· 合法文件

· 脚本

· 恶意PE负载

运营结构(来源 – ASEC)

当LNK文件运行时,它会使用PowerShell创建一个合法文档诱饵,然后在公共文件夹中创建三个文件(find.bat、search.dat、viewer.dat)。find.bat运行search.dat,它以无文件方式执行viewer.dat中的RokRAT后门有效负载。

RokRAT能够收集用户数据并接收命令,并将窃取的信息泄露到攻击者的云服务器(如pCloud、Yandex和DropBox),同时将请求伪装成Googlebot。利用无文件技术的多阶段执行过程旨在逃避检测。

image.png

有关所使用的云 URL 的详细信息(来源 - ASEC)

RokRAT能够运行命令、显示目录、删除启动文件、收集启动/应用程序数据/最近的文件列表以及收集系统和网络信息。攻击者在渗透到云基础设施(例如伪装成 Googlebot 的 pCloud)之前,被盗数据会存放在临时文件夹中。已知的攻击者电子邮件地址包括[email protected][email protected][email protected][email protected]

威胁行为者经常瞄准与韩国统一、军事或教育部门相关的目标,涉及这些领域的组织应格外警惕此类性质的持续攻击。

IoCs

· b85a6b1eb7418aa5da108bc0df824fc0

· 358122718ba11b3e8bb56340dbe94f51

· 35441efd293d9c9fb4788a3f0b4f2e6b

· 68386fa9933b2dc5711dffcee0748115

· bd07b927bb765ccfc94fadbc912b0226

· 6e5e5ec38454ecf94e723897a42450ea

· 3114a3d092e269128f72cfd34812ddc8

· bd98fe95107ed54df3c809d7925f2d2c

本文翻译自:https://gbhackers.com/weaponized-windows-fileles-rokrat-malware/如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/K70x
如有侵权请联系:admin#unsafe.sh