网络安全研究人员发现了一种名为 Hijack Loader 的恶意软件加载器的更新版本,它新增了一些功能,以躲避检测并在被攻陷的系统上实现持久化运行。

“ Hijack Loader 发布了一个新模块,该模块采用了调用栈欺骗技术来隐藏函数调用(例如,应用程序编程接口(API)调用和系统调用)的来源。” Zscaler ThreatLabz 的研究员 Muhammed Irfan V A 在一份分析报告中表示,“ Hijack Loader 添加了一个新模块来执行反虚拟机检查,以检测恶意软件分析环境和沙箱。”

Hijack Loader 最早于 2023 年被发现,它能够交付诸如信息窃取恶意软件之类的第二阶段有效载荷。它还配备了各种模块,用于绕过安全软件并注入恶意代码。在更广泛的网络安全社区中,Hijack Loader 也以 DOILoader、GHOSTPULSE、IDAT Loader 和 SHADOWLADDER 等名称被追踪。

2024 年 10 月,HarfangLab 和 Elastic Security Labs 详细介绍了 Hijack Loader 的攻击活动,这些活动利用了合法的代码签名证书,以及臭名昭著的 ClickFix 策略来分发该恶意软件。

这款加载器的最新版本相较于之前的版本有了多项改进,其中最值得注意的是添加了调用栈欺骗这一逃避检测的策略,以隐藏 API 和系统调用的来源,另一种名为 CoffeeLoader 的恶意软件加载器最近也采用了这一方法。

Zscaler 表示:“这种技术使用一系列的扩展基址指针(EBP)来遍历调用栈,并通过用伪造的栈帧替换实际的栈帧来隐藏调用栈中恶意调用的存在。”

与之前的版本一样,Hijack Loader 利用 Heaven’s Gate 技术来执行 64 位直接系统调用,以进行进程注入。其他变化包括对被列入黑名单的进程列表进行了修订,将 “avastsvc.exe”(Avast 杀毒软件的一个组件)添加了进去,还将执行时间延迟了五秒钟。

该恶意软件还集成了两个新模块,分别是用于检测虚拟机的 ANTIVM 模块和用于通过计划任务实现持久化的 modTask 模块。

研究结果表明,Hijack Loader 的操控者仍在积极维护它,目的是让对该恶意软件的分析和检测变得更加困难。

SHELBY 恶意软件利用 GitHub 进行命令与控制

这一情况出现的同时,Elastic 安全实验室详细介绍了一个名为 SHELBY 的新型恶意软件家族,它利用 GitHub 进行命令与控制(C2)、数据泄露和远程控制。相关活动被追踪并标记为 REF8685。

攻击链以一封网络钓鱼邮件为起点,用于分发一个 ZIP 压缩文件,其中包含一个 .NET 二进制文件,该文件通过 DLL 侧加载技术来执行一个被追踪为 SHELBYLOADER(“HTTPService.dll”)的 DLL 加载器。这些电子邮件是通过目标组织内部发送的高度针对性的网络钓鱼邮件,发送给了一家位于伊拉克的电信公司。

随后,该加载器会与 GitHub 进行命令与控制通信,从攻击者控制的存储库中一个名为 “License.txt” 的文件中提取一个特定的 48 字节的值。然后,这个值会被用于生成一个高级加密标准(AES)解密密钥,对主要的后门有效载荷(“HTTPApi.dll”)进行解密,并将其加载到内存中,且不会在磁盘上留下可检测到的痕迹。

Elastic 公司表示:“SHELBYLOADER 利用沙箱检测技术来识别虚拟化或受监控的环境。一旦执行,它就会将检测结果发送回命令与控制中心。这些结果会被打包成日志文件,详细说明每种检测方法是否成功识别出了沙箱环境。”

就其本身而言,SHELBYC2 后门会解析另一个名为 “Command.txt” 的文件中列出的命令,以便从 GitHub 存储库下载 / 上传文件,以反射方式加载一个 .NET 二进制文件,并运行 PowerShell 命令。值得注意的是,这里的命令与控制通信是通过使用个人访问令牌(PAT)对私有存储库进行提交操作来实现的。

该公司表示:“这种恶意软件的设置方式意味着,理论上,任何拥有个人访问令牌(PAT)的人都可以获取攻击者发送的命令,并从任何一台受害机器上访问命令输出结果。这是因为个人访问令牌(PAT)被嵌入到了二进制文件中,任何获取到它的人都可以使用。”

Emmenhtal 通过 7-Zip 文件传播 SmokeLoader

人们还观察到,带有支付主题诱饵的网络钓鱼电子邮件正在传播一个代号为 Emmenhtal Loader( PEAKLIGHT) 的恶意软件加载器家族,它充当了部署另一种名为 SmokeLoader 的恶意软件的渠道。

GDATA 公司表示:“在这个 SmokeLoader 样本中观察到的一个值得注意的技术是使用了 .NET Reactor,这是一种用于混淆和打包的商业 .NET 保护工具。”

“从历史上看,SmokeLoader 一直利用像 Themida、Enigma Protector 和自定义加密器这样的打包工具,由于 .NET Reactor 具有强大的反分析机制,它的使用与其他恶意软件家族(尤其是窃取类和加载类恶意软件)中所看到的趋势是一致的。”

 

文章原文链接:https://www.anquanke.com/post/id/306190