获取新的 Batshadow 威胁报告或收听互动报告
Aryaka 威胁研究实验室发现了越南威胁行为者 BatShadow 的新活动,该活动继续依靠社交工程来危害求职者和数字营销专业人员。攻击者冒充招聘人员,分发伪装成职位描述和公司文件的恶意文件。一旦打开,这些诱饵就会触发我们称之为吸血鬼机器人的基于围棋的恶意软件的感染链。
该活动展示了威胁行为者如何利用对专业工作流程的信任来实现持久性、进行系统监控和外泄敏感信息,同时将其活动混入正常的流量中。
感染通常始于 ZIP 压缩包,其中包含诱饵 PDF 和恶意快捷方式或可执行文件,这些文件被误导性扩展名所掩盖。在这种情况下,恶意文件会执行隐藏的 PowerShell 命令,向受害者显示诱饵 PDF,同时在后台悄悄下载和安装恶意软件。攻击者还利用基于浏览器的技巧,指示受害者切换到特定浏览器,以绕过内置保护,确保成功交付有效载荷。
吸血鬼僵尸一旦被执行,就会执行详细的主机剖析,收集用户名、硬件标识符、操作系统详情、权限级别和已安装安全产品的信息。这些数据在传输到攻击者的基础设施之前都经过加密。为了保持持久性,该恶意软件会将自身隐藏在系统文件夹中,应用属性以保持隐蔽性,并创建一个互斥以防止多个实例运行。
吸血鬼机器人的核心功能是持续监控桌面。该恶意软件以可配置的时间间隔捕获屏幕截图,将其压缩成 WEBP 格式,并通过加密通道将其外泄。它还维持一个持续的 C2 轮询循环,以接收指令,其中可能包括执行命令或下载额外的有效载荷。任务结果会传送回操作员,使他们能够完全远程控制被入侵的系统。
BatShadow 战术的这种演变反映了该组织从早期依赖商品恶意软件向更定制化的工具转变,这些工具的设计具有更强的持久性和隐蔽性。通过在熟悉的工作应用工作流程中嵌入恶意代码,行为者增加了成功入侵的可能性,同时降低了被发现的几率。这种转变凸显了网络安全领域保持警惕的迫切需要。
最后,Aryaka 威胁研究实验室与社区合作伙伴密切合作,确保通过威胁情报增强检测能力。我们负责任地披露了与 Proofpoint 新兴威胁研究团队合作进行的研究,以更新规则集。这一合作努力,包括新兴威胁组织的提及,彰显了网络安全社区在应对不断变化的网络挑战方面的实力。
