2025年第一季度五大活跃恶意软件攻击趋势分析报告

1. NetSupport RAT：利用ClickFix技术传播的远程控制木马

1.1 传播方式

ClickFix技术：攻击者将虚假验证码页面注入被攻陷网站，诱导用户执行恶意PowerShell命令
感染链：虚假验证码 → PowerShell命令执行 → 下载并运行NetSupport RAT

1.2 主要技术特点

远程控制能力：
- 实时查看并控制受害者屏幕
- 远程运行系统命令和PowerShell脚本
- 启动/停止/修改系统进程和服务
数据窃取功能：
- 上传/下载/修改/删除文件
- 捕获剪贴板文本（包括密码和敏感数据）
- 键盘记录窃取凭证
持久化技术：
- 通过启动文件夹、注册表键或计划任务实现
- 使用进程注入和代码混淆逃避检测
- 加密流量与C2服务器通信
TTPs（战术、技术和程序）：
- 持久性与执行：修改注册表启动项，通过wscript.exe执行脚本
- 发现：读取计算机名称、检查系统语言、访问环境变量
- 防御规避：投放合法Windows可执行文件，创建远程控制连接

2. Lynx勒索软件：高度结构化的RaaS攻击

2.1 组织特点

RaaS模式：提供完善的附属计划，80%赎金分成
目标行业：跨多个国家的不同行业（如澳大利亚卡车经销商、美国律师事务所）
数据泄露网站：用于威胁受害者支付赎金

2.2 技术特点

加密能力：
- 默认加密所有文件（本地/网络/可移动媒体）
- 可配置针对特定文件类型/文件夹/扩展名
- 删除卷影副本，禁用Windows恢复功能
数据窃取：
- 加密前窃取文档、凭证和财务信息
- 通过HTTPS或自定义加密通道传输数据
- 使用凭证转储技术提取存储密码
防御规避：
- 关闭可能阻止加密的应用程序
- 检测虚拟机和沙箱环境
- 内存中运行避免文件写入磁盘
- 通过Tor网络匿名通信
攻击表现：
- 替换桌面背景为勒索消息
- 文件重命名（附加.LYNX扩展名）
- 要求受害者使用Tor联系攻击者

3. AsyncRAT：基于Python和Cloudflare隧道的复杂攻击

3.1 攻击链

钓鱼邮件包含Dropbox URL
下载ZIP存档含Internet快捷方式文件
通过TryCloudflare URL获取LNK文件
执行LNK触发脚本链（PowerShell/JS/批处理）
下载执行Python负载部署多种恶意软件

3.2 技术特点

远程控制功能：
- 执行命令、监控活动、管理文件
- 窃取凭据和个人数据
持久化技术：
- 修改系统注册表
- 利用启动文件夹
- 使用互斥锁(AsyncMutex_alosh)防止多实例
通信方式：
- 连接masterpoldo02[.]kozow[.]COM:7575
- 使用AES加密（硬编码密钥和salt）
- 安装于%AppData%伪装合法应用

4. Lumma Stealer：利用GitHub分发的信息窃取器

4.1 传播方式

通过GitHub发布基础设施分发，利用平台可信度绕过检测

4.2 技术特点

窃取能力：
- 浏览器凭据、cookie、加密货币钱包
- 系统信息实时泄露
后续攻击：
- 下载执行其他恶意软件（SectopRAT/Vidar/Cobeacon）
- 多种Lumma变体协同攻击
持久化：
- 注册表修改
- 启动项维护访问
检测特征：
- 特定Suricata规则触发
- 可被网络监控工具发现恶意通信模式

5. InvisibleFerret：虚假求职面试中的Python恶意软件

5.1 攻击场景

冒充招聘人员进行虚假面试
诱骗专业人士下载"合法工具"

5.2 技术特点

隐蔽性：
- 混淆的Python脚本
- 多层攻击链（BeaverTail作为加载程序）
- 便携Python环境(p.zip)执行
功能：
- 搜索泄露源代码、加密货币钱包、个人文件
- 建立持久后门
关联组件：
- BeaverTail：恶意NPM模块，JavaScript信息窃取器
- 提供高级混淆和持久性机制

防御建议

用户教育：
- 警惕异常验证码页面
- 谨慎处理求职相关软件下载
- 验证邮件附件和链接真实性
技术防护：
- 监控PowerShell异常执行
- 阻断已知C2域名和端口
- 部署行为分析检测加密行为
- 使用高级威胁检测工具识别混淆代码
系统加固：
- 限制脚本执行权限
- 定期备份关键数据
- 禁用不必要的远程访问功能
- 更新系统和应用补丁
网络监控：
- 关注Tor和Cloudflare隧道流量
- 实施严格的出站连接控制
- 监控注册表和启动项变更

2025年第一季度五大活跃恶意软件攻击趋势分析报告 1. NetSupport RAT：利用ClickFix技术传播的远程控制木马 1.1 传播方式 ClickFix技术：攻击者将虚假验证码页面注入被攻陷网站，诱导用户执行恶意PowerShell命令感染链：虚假验证码 → PowerShell命令执行 → 下载并运行NetSupport RAT 1.2 主要技术特点远程控制能力：实时查看并控制受害者屏幕远程运行系统命令和PowerShell脚本启动/停止/修改系统进程和服务数据窃取功能：上传/下载/修改/删除文件捕获剪贴板文本（包括密码和敏感数据）键盘记录窃取凭证持久化技术：通过启动文件夹、注册表键或计划任务实现使用进程注入和代码混淆逃避检测加密流量与C2服务器通信 TTPs（战术、技术和程序）：持久性与执行：修改注册表启动项，通过wscript.exe执行脚本发现：读取计算机名称、检查系统语言、访问环境变量防御规避：投放合法Windows可执行文件，创建远程控制连接 2. Lynx勒索软件：高度结构化的RaaS攻击 2.1 组织特点 RaaS模式：提供完善的附属计划，80%赎金分成目标行业：跨多个国家的不同行业（如澳大利亚卡车经销商、美国律师事务所）数据泄露网站：用于威胁受害者支付赎金 2.2 技术特点加密能力：默认加密所有文件（本地/网络/可移动媒体）可配置针对特定文件类型/文件夹/扩展名删除卷影副本，禁用Windows恢复功能数据窃取：加密前窃取文档、凭证和财务信息通过HTTPS或自定义加密通道传输数据使用凭证转储技术提取存储密码防御规避：关闭可能阻止加密的应用程序检测虚拟机和沙箱环境内存中运行避免文件写入磁盘通过Tor网络匿名通信攻击表现：替换桌面背景为勒索消息文件重命名（附加.LYNX扩展名）要求受害者使用Tor联系攻击者 3. AsyncRAT：基于Python和Cloudflare隧道的复杂攻击 3.1 攻击链钓鱼邮件包含Dropbox URL 下载ZIP存档含Internet快捷方式文件通过TryCloudflare URL获取LNK文件执行LNK触发脚本链（PowerShell/JS/批处理）下载执行Python负载部署多种恶意软件 3.2 技术特点远程控制功能：执行命令、监控活动、管理文件窃取凭据和个人数据持久化技术：修改系统注册表利用启动文件夹使用互斥锁(AsyncMutex_ alosh)防止多实例通信方式：连接masterpoldo02[ .]kozow[ . ]COM:7575 使用AES加密（硬编码密钥和salt）安装于%AppData%伪装合法应用 4. Lumma Stealer：利用GitHub分发的信息窃取器 4.1 传播方式通过GitHub发布基础设施分发，利用平台可信度绕过检测 4.2 技术特点窃取能力：浏览器凭据、cookie、加密货币钱包系统信息实时泄露后续攻击：下载执行其他恶意软件（SectopRAT/Vidar/Cobeacon）多种Lumma变体协同攻击持久化：注册表修改启动项维护访问检测特征：特定Suricata规则触发可被网络监控工具发现恶意通信模式 5. InvisibleFerret：虚假求职面试中的Python恶意软件 5.1 攻击场景冒充招聘人员进行虚假面试诱骗专业人士下载"合法工具" 5.2 技术特点隐蔽性：混淆的Python脚本多层攻击链（BeaverTail作为加载程序）便携Python环境(p.zip)执行功能：搜索泄露源代码、加密货币钱包、个人文件建立持久后门关联组件： BeaverTail：恶意NPM模块，JavaScript信息窃取器提供高级混淆和持久性机制防御建议用户教育：警惕异常验证码页面谨慎处理求职相关软件下载验证邮件附件和链接真实性技术防护：监控PowerShell异常执行阻断已知C2域名和端口部署行为分析检测加密行为使用高级威胁检测工具识别混淆代码系统加固：限制脚本执行权限定期备份关键数据禁用不必要的远程访问功能更新系统和应用补丁网络监控：关注Tor和Cloudflare隧道流量实施严格的出站连接控制监控注册表和启动项变更