【安全资讯】AsyncRAT恶意软件活动利用Bitbucket进行多阶段攻击

概要：

近期，G DATA安全实验室揭露了一项复杂的恶意软件活动，该活动利用流行的代码托管平台Bitbucket来部署AsyncRAT，这是一种知名的远程访问木马（RAT）。攻击者采用多阶段攻击策略，利用Bitbucket托管和分发恶意负载，从而规避检测。此事件突显了网络安全威胁的复杂性和攻击者的创新手段。

主要内容：

攻击者通过发送包含恶意VBScript文件的钓鱼邮件开始攻击，该文件名为“01 DEMANDA LABORAL.vbs”，执行PowerShell命令。此初始阶段通过多层字符串操作和Base64编码来混淆和传递负载。VBScript构建并执行PowerShell命令，有效地将攻击转移到下一阶段。

在第二阶段，PowerShell脚本从Bitbucket存储库下载一个名为“dllhope.txt”的文件，该文件是一个Base64编码的负载，解码后变为.NET编译文件，揭示了AsyncRAT恶意软件的真实性质。一旦成功交付，AsyncRAT便赋予攻击者对感染系统的完全远程控制，允许他们执行广泛的恶意活动，包括远程桌面控制、文件管理、键盘记录、摄像头和麦克风访问，以及执行任意命令。

G DATA的分析还强调了攻击者使用反虚拟化检查以避免在沙箱环境中被检测的策略。此外，恶意软件通过多种机制建立持久性，包括修改Windows注册表和创建启动快捷方式，确保即使在系统重启后也能保持活跃。这一系列复杂的攻击手法展示了网络犯罪分子的高超技术和对目标的深刻理解。