【安全资讯】越南黑客组织针对Meta广告专业人士发起Ducktail与Quasar RAT攻击

概要：

近期，Cyble研究与情报实验室（CRIL）揭露了一起复杂的网络攻击事件，越南黑客组织将数字营销专业人士，特别是Meta（Facebook和Instagram）广告领域的从业者作为主要目标。该组织自2022年7月以来活跃，利用Ducktail和Quasar RAT等恶意软件，通过钓鱼、沙箱规避和特权提升等技术手段进行攻击。

主要内容：

攻击始于包含恶意LNK文件的钓鱼邮件，这些文件伪装成PDF文档。打开后，LNK文件执行PowerShell命令，从外部源（如Dropbox）下载额外的恶意脚本。这些脚本经过高度混淆和编码，以绕过传统安全工具。攻击者使用多种反沙箱和反调试检查，确保恶意软件仅在非虚拟化环境中运行。一旦确认目标系统为真实环境，攻击便进入最终阶段，使用硬编码密钥解密有效载荷，部署Quasar RAT，攻击者因此获得对受害者系统的完全控制，能够窃取数据、盗取凭证并部署更多恶意软件。

CRIL报告指出，攻击者采用AES加密有效载荷，并结合反调试技术和高级.NET混淆，显示出其对规避传统安全解决方案的高度重视。此次攻击的主要受害者为数字营销、电商和绩效营销领域的专业人士，攻击者巧妙地将钓鱼诱饵针对这些个体，使用与工作相关的文档或项目，伪装成职业机会。

此外，攻击者的战术不断演变，逐步扩展其操作，采用恶意软件即服务（MaaS）提供有效载荷。该攻击的一个突出特点是使用规避技术，旨在绕过沙箱环境、虚拟机和安全分析工具。恶意软件通过查询磁盘驱动类型、搜索虚拟机相关文件和检查特定沙箱模块，进行广泛检查，以识别系统是否在虚拟化环境中运行。CRIL警告称，攻击者的适应性和克服不同防御级别的能力，意味着数字营销专业人士和组织需要保持警惕，未来攻击者可能会继续扩展其操作。