XWorm、Remcos RAT 逃避 EDR 感染关键基础设施

基于 Rust 的注入器 Freeze[.]rs 已被武器化，可以在复杂的网络钓鱼活动中向目标引入大量恶意软件，其中包含绕过端点检测和响应 (EDR) 的恶意 PDF 文件。

该活动最初由 Fortinet 的 FortiGuard 实验室于 XNUMX 月发现，其目标是欧洲和北美的受害者，包括特种化学品或工业产品供应商。

该公司的分析显示，最终，这条链最终导致 XWorm 恶意软件的加载，与命令和控制 (C2) 服务器建立通信。 XWorm 可以执行多种功能，从加载勒索软件到充当持久后门。

进一步的披露还揭示了 SYK Crypter 的参与，这是一种经常用于通过 Discord 社区聊天平台分发恶意软件系列的工具。 这个加密器在加载中发挥了作用 Remcos，一种复杂的远程访问木马 (RAT) 擅长控制和监控Windows设备。

将 EDR 置于冰点：Freeze[.]rs 攻击链的幕后黑手

在调查中，该团队对编码算法和 API 名称的分析将这种新型注入器的起源追溯到红队工具“Freeze.rs”，该工具专门设计用于制作能够绕过 EDR 安全措施的有效负载。

“该文件重定向到 HTML 文件，并利用‘search-ms’协议访问远程服务器上的 LNK 文件，”公司博客文章 解释。 “单击 LNK 文件后，PowerShell 脚本会执行 Freeze[.]rs 和 SYK Crypter，以采取进一步的攻击行动。”

FortiGuard 实验室研究员 Cara Lin 解释说，Freeze[.]rs 注入器调用 NT 系统调用来注入 shellcode，跳过内核基础 dll 中可能被挂钩的标准调用。

“他们利用 EDR 开始挂钩和更改进程内系统 DLL 的程序集之前发生的轻微延迟，”她说。 “如果一个进程在挂起状态下创建，它会加载最少的 DLL，并且不会加载 EDR 特定的 DLL，这表明 Ntdll.dll 中的系统调用保持不变。”

Lin 解释说，攻击链是通过一个诱杀 PDF 文件发起的，该文件与“search-ms”协议一起传递有效负载。

该 JavaScript 代码利用“search-ms”功能来显示位于远程服务器上的 LNK 文件。

“search-ms”协议可以通过 Windows 资源管理器窗口将用户重定向到远程服务器。

“通过使用伪装成 PDF 图标的欺骗性 LNK 文件，它可以欺骗受害者，让他们相信该文件来自他们自己的系统并且是合法的，”她指出。

与此同时，“SYK Crypter 将自身复制到 Startup 文件夹以实现持久性，在编码过程中对配置进行加密并在执行时对其进行解密，并且还对资源中的压缩有效负载进行加密以进行混淆，”她补充道。

下载器与第一层中的编码一起使用，随后，第二层涉及字符串混淆和有效负载加密。

“这种多层策略旨在提高静态分析的复杂性和挑战，”她说。 “最后，它可以在识别出特定的安全供应商后自行终止。”

如何防御日益增加的网络钓鱼风险

网络钓鱼和其他基于消息的攻击 仍然是一个普遍的威胁，97% 的公司在过去 12 个月内至少遇到过一次电子邮件网络钓鱼攻击，四分之三的公司预计基于电子邮件的攻击会造成巨大损失。

网络钓鱼攻击 变得更加智能、更有针对性，适应新技术和用户行为，不断发展到包括移动漏洞利用、品牌模仿和人工智能生成的内容。

该研究指出，维护最新的软件以降低风险、提供定期培训以及使用先进的安全工具进行防御以应对不断变化的网络钓鱼攻击威胁至关重要。

员工网络钓鱼模拟培训 似乎在关键基础设施组织中工作得更好 新研究发现，与其他行业相比，66% 的员工在接受培训的一年内正确报告了至少一次真正的恶意电子邮件攻击。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 汽车/电动汽车， 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• 图表Prime。 使用 ChartPrime 提升您的交易游戏。 访问这里。
• 块偏移量。 现代化环境抵消所有权。 访问这里。
• Sumber: https://www.darkreading.com/ics-ot/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure