行業新聞與部落格

網路安全研究人員分析了一個名為 SHADOW#REACTOR 的多階段 Windows 惡意軟體活動，揭示了一條複雜的感染鏈，旨在隱蔽地部署 Remcos 遠端訪問木馬。

Securonix 威脅研究團隊發現的這一攻擊活動，利用一系列指令碼和記憶體載入器濫用合法的 Windows 工具來逃避檢測，同時保持永續性。

攻擊始於執行一個透過 wscript.exe 啟動的混淆 Visual Basic 指令碼 (VBS) 。該初始指令碼的作用僅僅是將執行權移交給目標。它會在記憶體中構建並執行一個高度加密的 PowerShell 命令，從而避免在磁碟上留下明顯的惡意痕跡。

PowerShell 從遠端伺服器上檢索一系列有效負載片段，並將它們重新構建成可執行元件。

然而，攻擊者並非直接下載可執行檔案，而是依賴於包含編碼有效載荷的文字檔案，這些檔案會被反覆獲取，直到達到預設的大小閾值。這種設計有助於確保攻擊的可靠性，同時也增加了靜態分析和沙箱測試的難度。

一旦文字有效載荷被重建，它們就會被解碼並載入到記憶體中，而 .NET Reactor 是一個受保護的 .NET 程式集，它是一種商業程式碼保護工具，經常被威脅行為者重新利用。

該載入器協調後續階段，清理工件，並可選擇性地執行反分析檢查。

它最終檢索配置資料並使用 MSBuild.exe 執行，這是一個受信任的 Microsoft 簽名二進位制檔案，被濫用為一種“借力打力”（LOL）工具。

最終有效載荷：Remcos RAT

分析證實，最終有效載荷是 Remcos RAT，這是一款市面上常見的遠端管理工具，常被用於惡意目的。

Remcos 透過加密的配置資訊流進行傳播，能夠完全遠端控制受感染的系統，包括檔案訪問、命令執行以及可選的監控功能。在此次攻擊活動中，它使用的載入程式比通常情況下要複雜得多。

研究結果表明，存在一個積極維護的模組化框架，旨在進行廣泛的、機會主義的目標定位。

Securonix 寫道：“為了檢測和阻止此類攻擊活動，防禦者應優先關注基於指令碼的執行路徑 [...] 以及從指令碼引擎到不受信任的基礎設施的出站 HTTP 活動。” 

該公司將這項研究歸功於其威脅分析團隊，並指出目前尚無足夠的證據將 SHADOW#REACTOR 與特定的威脅組織或國家行為體聯絡起來。

“更加關注反射式 .NET 載入、基於文字的暫存模式和 LOLBAS 濫用 [...] 將大大提高在最終 Remcos 有效載荷完全部署和執行之前識別這些威脅的可能性。”