【安全资讯】攻击者使用MSBuild以无文件方式传递RAT

猎影实验室 2021-05-21 03:41:53 3116人浏览

研究人员发现了一个活动,攻击者使用Microsoft Build Engine(MSBuild)以无文件方式分发Remcos远程访问工具(RAT)和RedLine Stealer窃密恶意软件。该活动似乎于2021年4月开始,至2021年5月11日仍在进行。恶意 MSBuild  文件包含编码的可执行文件和shellcode,其中一些文件托管在俄罗斯图像托管网站“ joxi[.]net”上。


MSBuild是用于构建应用程序的开发工具,使用包含规范的XML项目文件来编译项目。MSBuild具有内联任务功能,该功能使代码可以由MSBuild指定和编译并在内存中运行。这种在内存中运行代码的能力使黑客能够在无文件攻击中使用MSBuild。该活动的攻击链如下:




RemcosRAT具有反AV、凭证收集、收集系统信息、键盘记录、持久性保持、屏幕截图、脚本执行功能。

RedLine Stealer具备收集Cookies、凭据(聊天客户端、vpn、浏览器、NordVPN、加密货币钱包)、系统信息功能。


无文件恶意软件通常使用合法的应用程序将恶意软件加载到内存中,在计算机上不会留下任何感染痕迹,因此很难被检测到。2021年发布的一份分析报告显示,从2019年到2020年,无文件攻击的数量增加了888%。


研究人员表示,目前无法确定谁是此活动的幕后黑手。此次活动表明,仅依靠防病毒软件不足以实现网络防御,建议企业和组织采取一些措施来应对这种威胁,如网络安全培训以及纵深防御策略。

失陷指标(IOC)35
远程控制RAT RedLine Stealer RemcosRAT 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。