黑客在无文件恶意软件攻击中滥用Windows错误服务

10月7日上午消息：Malwarebytes研究人员上个月发现，一个未知的黑客组织将恶意代码注入了合法的Windows错误报告(WER)服务中，以逃避检测，这是无文件恶意软件攻击的一部分。

在防御防御的攻击中利用WER服务并不是一种新策略，但是，正如Malwarebytes威胁情报小组的研究人员Hossein Jazi和JérômeSegura所说，此活动很可能是一个尚未知名的网络间谍组织的工作。

该报告事先与BleepingComputer共享，他解释说：“威胁者破坏了一个网站来托管其有效载荷，并使用CactusTorch框架进行了无文件攻击，然后采用了几种反分析技术。”

鱼叉式网络钓鱼用于丢弃有效载荷

研究人员在9月17日首次发现了这种攻击，因为研究人员发现了网络钓鱼电子邮件，其中包含装在ZIP存档中的恶意文档。

最初的恶意有效载荷通过鱼叉式网络钓鱼和电子邮件发送给目标计算机，并使用工人的赔偿要求作为诱饵。

打开后，该文档将通过标识为CactusTorch VBA模块的恶意宏执行Shellcode，该宏将.NET有效负载直接加载到现已感染的Windows设备的内存中。

下一步，从计算机内存中执行此二进制文件，在硬盘驱动器上不留痕迹，将嵌入式Shellcode注入WERFault.exe(WER服务的Windows进程)。

网络钓鱼电子邮件示例(Malwarebytes)

其他恶意软件使用相同的进程注入技术来绕过检测，包括Cerber勒索软件和NetWire RAT。

注入了恶意代码的新创建的Windows错误报告服务线程将进行多次反分析检查，以查看它是否正在调试，是否在虚拟机或沙箱环境中运行，所有迹象均已被恶意软件研究人员检查。

如果所有检查都通过，并且加载的恶意软件足够安全，可以进行下一步，它将解密最终的Shellcode并将其加载到新创建的WER线程中，该线程将在新线程中执行。

然后，将以伪造图标的形式在asia-kotoba [。]网络上托管的最终恶意软件有效负载下载并注入新的流程。

不幸的是，由于研究人员分析攻击时主机URL已关闭，因此Malwarebytes无法分析最终的有效负载。

潜在的APT32指纹

虽然Malwarebytes研究人员无法足够有把握地将攻击归因于任何黑客团体，但所使用的某些折衷和策略指标指向越南支持的APT32网络间谍组织(也称为OceanLotus和SeaLotus)。

其中之一是事实，APT32以使用CactusTorch VBA模块在其攻击中丢弃Denis Rat的变体而闻名。

可悲的是，Malwarebytes在调查了这种攻击以建立直接连接之后，未能设法获得最终有效负载的副本。

可能将这种攻击与越南黑客组织联系起来的另一个提示是在越南胡志明市注册的域名(yourrighttocompensation [。] com)，该域名用于托管和传递网络钓鱼文档和恶意负载。

据网络安全公司FireEye称，APT32以前曾通过鱼叉式网络钓鱼电子邮件传递恶意附件，从而将目标锁定在“外国公司在越南的制造，消费品，咨询和酒店业投资”。

还众所周知，它们是来自世界各地的研究机构，媒体和人权组织以及中国海事建筑公司的针对性攻击的幕后黑手。