与越南威胁行为者相关的钓鱼攻击活动升级

近期一项调查显示，某钓鱼攻击活动最初仅使用简单的 Python 窃密脚本，最终却升级至部署 PureRAT—— 一款功能完备的商品化远程访问木马（Remote Access Trojan，简称 RAT）。

网络安全公司 Huntress 发布的研究报告指出，攻击者的技术手段已从使用自定义脚本，逐步升级为利用功能复杂的商用工具。

一、攻击链条解析

该攻击活动始于钓鱼邮件，邮件中附带伪装成 “版权通知” 的 ZIP 压缩包。压缩包内包含一个经过签名的 PDF 阅读器可执行文件（.exe），以及一个恶意的 version.dll 文件，攻击者借此实现 “DLL 侧载”（DLL Sideloading）攻击。此后，攻击共分 10 个阶段逐步推进，通过加载器层、加密层与持久化机制的层层叠加，复杂度不断升级。

此次攻击活动的显著特点是，在第 3 阶段实现了从 Python 脚本到编译后的.NET 可执行文件（.exe）的技术转型。

攻击者对系统进程 RegAsm.exe 实施 “进程镂空”（Process Hollowing）攻击，对 Windows 自带的反恶意软件扫描接口（AMSI）和事件跟踪日志（ETW）等防御机制进行补丁篡改，随后逐步解包更多恶意载荷，最终暴露的核心恶意程序即为 PureRAT。该木马可为攻击者提供加密的命令与控制（C2）信道、主机指纹识别功能，以及加载额外恶意模块的能力。

二、攻击活动溯源

攻击前期阶段的核心目标是窃取凭证信息，并从 Chrome、Firefox 等浏览器中收集数据。

攻击者将窃取的信息打包为 ZIP 文件后，通过 Telegram 机器人 API（Telegram Bot API）传输。与账号 @LoneNone 相关联的元数据显示，该攻击活动与 “PXA 窃密者”（PXA Stealer）恶意软件家族存在关联，而该家族此前已被证实与越南威胁行为者有关。

此外，PureRAT 的命令与控制（C2）服务器经溯源也位于越南，进一步印证了这一攻击归因结论。

消息来源：infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；