2025年第一季度,网络安全战场硝烟四起。网络犯罪分子继续发起新的攻击并优化其攻击手段。以下是五大值得关注恶意软件家族及其在控制环境中的分析概述。
NetSupport RAT:利用ClickFix技术传播
2025年初,攻击者开始利用一种被称为ClickFix的技术来传播 NetSupport 远程访问木马(RAT)。这种技术会将虚假的验证码页面注入被攻陷的网站,诱导用户执行恶意 PowerShell 命令,从而下载并运行 NetSupport RAT。一旦安装成功,该 RAT 会赋予攻击者对受害者系统的完全控制权,包括实时屏幕监控、文件操作以及任意命令执行。
NetSupport RAT 的主要技术特点
-
攻击者可以实时查看并控制受害者屏幕。
-
上传、下载、修改和删除受感染系统中的文件。
-
远程运行系统命令和 PowerShell 脚本。
-
捕获复制的文本,包括密码和敏感数据。
-
记录用户按键以窃取凭证。
-
启动、停止和修改系统进程和服务。
-
通过启动文件夹、注册表键或计划任务实现持久化。
-
使用进程注入和代码混淆技术逃避检测。
-
通过加密流量与攻击者保持隐秘通信。
在 ANY.RUN 的交互式沙盒中运行 NetSupport RAT 后,可以观察到多项活动。例如,它立即与命令控制(C2)服务器建立连接,使攻击者能够远程操作受感染的机器。
在 ANY.Run 沙盒中打开的恶意压缩文件
NetSupport RAT 还使用多种战术、技术和程序(TTP)来维持持久性、逃避检测并收集系统数据。关键的 TTP 包括:
-
持久性与执行:修改注册表启动项,通过 wscript.exe 执行脚本。
-
发现:读取计算机名称、检查系统语言并访问环境变量。
-
防御规避与 C2 通信:投放合法的 Windows 可执行文件,创建远程控制的互联网连接对象。
NetSupport RAT 使用的主要战术、技术和程序(TTP)
Lynx 勒索软件:瞄准多行业的加密攻击
Lynx 勒索软件即服务(RaaS)组织以其高度结构化而闻名,提供完善的附属计划与强大的加密方法。基于早期 INC 勒索软件的基础,Lynx 提升了其能力并扩大了攻击范围,瞄准了多个国家的不同行业。
Lynx 主要攻击事件
2025年第一季度,Lynx 加密了一个领先的澳大利亚卡车经销商系统,以及一家美国专门从事公司法和证券法的律师事务所,窃取了大量敏感数据,威胁受害者支付赎金。
Lynx 勒索软件的主要技术特点
-
默认加密所有文件,包括本地驱动器、网络共享和可移动媒体。
-
通过 RaaS 配置,可针对特定文件类型、文件夹或扩展名。
-
在加密前窃取敏感数据,包括文档、凭证和财务信息。
-
通过 HTTPS 或自定义加密通道传输被盗数据。
-
删除卷影副本并禁用 Windows 恢复功能以防止还原。
-
关闭可能阻止加密的应用程序。
-
使用凭证转储技术提取存储的密码。
-
通过 Tor 网络匿名通信并与 C2 服务器保持连接。
-
检测虚拟机和沙箱环境,改变行为以逃避分析。
-
在内存中运行,避免将文件写入磁盘。
暂无评论内容