行業新聞與博客

網絡安全研究人員分析了一個名為 SHADOW#REACTOR 的多階段 Windows 惡意軟件活動，揭示了一條複雜的感染鏈，旨在隱蔽地部署 Remcos 遠程訪問木馬。

Securonix 威脅研究團隊發現的這一攻擊活動，利用一系列腳本和內存加載器濫用合法的 Windows 工具來逃避檢測，同時保持持久性。

攻擊始於執行一個通過 wscript.exe 啓動的混淆 Visual Basic 腳本 (VBS) 。該初始腳本的作用僅僅是將執行權移交給目標。它會在內存中構建並運行一個高度加密的 PowerShell 命令，從而避免在磁盤上留下明顯的惡意痕跡。

PowerShell 從遠程服務器上檢索一系列有效負載片段，並將它們重新構建成可執行組件。

然而，攻擊者並非直接下載可執行文件，而是依賴於包含編碼有效載荷的文本文件，這些文件會被反覆獲取，直到達到預設的大小閾值。這種設計有助於確保攻擊的可靠性，同時也增加了靜態分析和沙箱測試的難度。

一旦文本有效載荷被重建，它們就會被解碼並加載到內存中，而 .NET Reactor 是一個受保護的 .NET 程序集，它是一種商業代碼保護工具，經常被威脅行為者重新利用。

該加載器協調後續階段，清理工件，並可選擇性地執行反分析檢查。

它最終檢索配置數據並使用 MSBuild.exe 執行，這是一個受信任的 Microsoft 簽名二進制文件，被濫用為一種“借力打力”（LOL）工具。

最終有效載荷：Remcos RAT

分析證實，最終有效載荷是 Remcos RAT，這是一款市面上常見的遠程管理工具，常被用於惡意目的。

Remcos 通過加密的配置信息流進行傳播，能夠完全遠程控制受感染的系統，包括文件訪問、命令執行以及可選的監控功能。在此次攻擊活動中，它使用的加載程序比通常情況下要複雜得多。

研究結果表明，存在一個積極維護的模塊化框架，旨在進行廣泛的、機會主義的目標定位。

Securonix 寫道：“為了檢測和阻止此類攻擊活動，防禦者應優先關注基於腳本的執行路徑 [...] 以及從腳本引擎到不受信任的基礎設施的出站 HTTP 活動。” 

該公司將這項研究歸功於其威脅分析團隊，並指出目前尚無足夠的證據將 SHADOW#REACTOR 與特定的威脅組織或國家行為體聯繫起來。

“更加關注反射式 .NET 加載、基於文本的暫存模式和 LOLBAS 濫用 [...] 將大大提高在最終 Remcos 有效載荷完全部署和運行之前識別這些威脅的可能性。”