PureRAT 惡意軟體:複雜網路釣魚攻擊背後的真相
Table of Contents
PureRAT 是什麼?為什麼它會成為頭條新聞?
PureRAT 是一種遠端存取木馬 (RAT),因成為針對俄羅斯組織的網路釣魚攻擊急劇增加的中心而受到關注。該惡意軟體於 2023 年初首次被發現,並悄悄地潛伏在後台,直到 2025 年初。
雖然肇事者的身份仍然未知,但攻擊方法卻非常熟悉:一封網路釣魚電子郵件包含一個 RAR 檔案或指向該檔案的鏈接,巧妙地偽裝成無害的 Microsoft Word 或PDF 文檔。這些欺騙性的檔案名稱通常使用雙重副檔名(例如,.pdf.rar)來誘騙使用者開啟它們,讓他們相信他們正在與常見的檔案類型互動。
攻擊如何展開:分層交付法
一旦打開,該檔案就包含一個可執行檔。當受害者運行它時,惡意軟體會悄悄地將自身安裝到 Windows 系統上,並將其自身複製到名為「task.exe」的 AppData 資料夾中。從那裡,它將 Visual Basic 腳本放入系統的啟動資料夾中,以確保它在每次機器重新啟動時運行。
此初始有效載荷解壓縮了另一個名為“ckcfb.exe”的文件,該文件使用合法的 Windows 工具 InstallUtil.exe 注入惡意軟體的下一階段。此時,名為「Spydgozoi.dll」的金鑰檔案被解密並運行,從而釋放主要的PureRAT後門。
超越簡單監視的功能
PureRAT 不僅僅是一個後門——它是一個多功能間諜工具。它立即與其命令和控制 (C2) 伺服器建立安全的 SSL 連線。它將系統詳細資訊(例如正在使用的防毒軟體、電腦名稱和正常運行時間)發送回攻擊者。一旦連線處於活動狀態,惡意軟體就可以下載並啟動各種模組來擴展其功能。
這些模組包括:
- PluginPcOption :允許惡意軟體刪除自身、重新啟動其操作或強制關閉/重新啟動系統。
- PluginWindowNotify :監視開啟的視窗中是否存在「密碼」或「銀行」等關鍵字,從而可能實現即時監視或重定向。
- PluginClipper :作為剪貼簿劫持者,將任何複製的加密貨幣錢包位址替換為攻擊者控制的位址。
不僅僅是 RAT:PureCrypter 和 PureLogs 的加入
複雜性不止於 PureRAT。初始可執行檔也部署了另一個名為「StilKrip.exe」的元件。這不是從頭開始開發的惡意軟體,而是一種名為PureCrypter的商業下載程序,自 2022 年以來一直活躍,並經常用於犯罪活動以釋放更多威脅。
PureCrypter 取得並執行名為「Bghwwhmlr.wav」的文件,該文件透過再次呼叫 InstallUtil.exe 來繼續該鏈。最終,這會導致名為「Ttcxxewxtly.exe」的檔案執行,該檔案提取最終的有效載荷:PureLogs 竊取程式。
PureLogs 是一款綜合資訊收集工具,可掃描瀏覽器和電子郵件用戶端、VPN 應用程式、密碼管理器和加密貨幣錢包。它甚至可以從 FileZilla 和 WinSCP 等 FTP 用戶端收集憑證。
對組織和網路防禦的影響
PureRAT 的獨特之處在於其模組化結構和安靜的持久性。它不僅僅是一種感染——它是一個為攻擊者提供幾乎完全控制受感染系統的平台。從監視按鍵和控製網路攝影機到悄悄挖掘數據,該惡意軟體可以進行廣泛的網路間諜活動。
對於企業,尤其是處理敏感資料產業的企業來說,這不僅意味著資料被盜的風險增加,還意味著潛在的營運中斷風險增加。被入侵的系統可能會在數週或數月內不被察覺,使攻擊者能夠穩步竊取有價值的資訊。
防禦隱形入侵者
PureRAT 的主要入口點仍然是網路釣魚電子郵件。這強調了對強大的電子郵件安全協議、使用者培訓和端點保護解決方案的迫切需求。組織應該專注於監控異常活動、實施多因素身份驗證以及保持系統和軟體的更新。
網路安全專家也建議對電子郵件附件進行沙盒處理,並實施行為偵測技術,即使惡意軟體使用 InstallUtil.exe 等合法系統工具來隱藏其蹤跡,也可以擷取該技術。
警鐘敲響,而非恐慌
PureRAT 及其相關元件(如 PureCrypter 和 PureLogs)的興起標誌著惡意軟體策略的演進——將社會工程、合法工具和現成的元件融合成強大的威脅。然而,只要有意識、有準備、並採取正確的安全態勢,組織就可以有效地防範這些複雜的威脅。其目的不是製造恐懼,而是鼓勵人們在面對日益複雜的網路攻擊時保持警惕並採取明智的行動。
