SHADOW#REACTOR恶意软件活动利用多阶段攻击投递Remcos RAT

网络安全研究人员披露了一项名为SHADOW#REACTOR的新型恶意软件活动详情，该活动采用隐蔽的多阶段攻击链来投递商用远程管理工具Remcos RAT，并建立持久的隐蔽远程访问能力。

Securonix安全研究员Akshay Gaikwad、Shikha Sangwan和Aaron Beardslee在技术报告中表示："感染链遵循严密编排的执行路径：通过wscript.exe执行混淆的VBS启动器，调用PowerShell下载器，从远程主机检索分片的基于文本的有效载荷。这些片段被重构为编码加载器，由.NET Reactor保护的程序集在内存中解码，用于获取和应用远程Remcos配置。最终阶段利用MSBuild.exe作为合法系统工具完成执行，Remcos RAT后门完全部署并控制被入侵系统。"

研究显示该活动范围广泛且具有机会主义特征，主要针对企业和中小型商业环境。所使用的工具和技术与典型的初始访问代理一致，这类攻击者获得目标环境的立足点后将其出售给其他参与者以获取经济利益。目前没有证据表明该活动可归因于已知威胁组织。

该活动最不寻常的特点是依赖中间的纯文本分阶段器，结合使用PowerShell进行内存重构和.NET Reactor保护的反射加载器，以解包攻击的后续阶段，旨在复杂化检测和分析工作。

攻击技术分析

感染序列始于检索和执行混淆的Visual Basic脚本（"win64.vbs"），该脚本可能通过用户交互触发，如点击通过社会工程诱饵传递的链接。该脚本使用"wscript.exe"运行，充当Base64编码PowerShell有效载荷的轻量级启动器。

PowerShell脚本随后使用System.Net.WebClient与用于获取VBS文件的同一服务器通信，并在机器的%TEMP%目录中投放名为"qpwoe64.txt"（32位系统为"qpwoe32.txt"）的基于文本的有效载荷。

Securonix解释说："脚本然后进入循环，验证文件的存在和大小。如果文件丢失或低于配置的长度阈值，分阶段器暂停执行并重新下载内容。如果在定义的超时窗口内未达到阈值，执行继续而不终止，防止链条失败。这种机制确保不完整或损坏的有效载荷片段不会立即中断执行，强化了该活动的自我修复设计。"

如果文本文件满足相关标准，它会继续在%TEMP%目录中构建第二个辅助PowerShell脚本（"jdywa.ps1"），该脚本调用.NET Reactor加载器，负责建立持久性、检索下一阶段恶意软件，并整合各种反调试和反虚拟机检查以规避检测。

加载器最终使用合法的Microsoft Windows进程"MSBuild.exe"在被入侵主机上启动Remcos RAT恶意软件。在攻击过程中还投放了执行包装脚本，用于使用"wscript.exe"重新触发"win64.vbs"的执行。

研究人员指出："综合这些行为表明，这是一个主动维护的模块化加载器框架，旨在保持Remcos有效载荷的可移植性、弹性和难以静态分类的特性。纯文本中间件、内存中.NET Reactor加载器和合法系统工具滥用的结合，反映了一种深思熟虑的策略，旨在挫败杀毒软件签名、沙箱和快速分析师分类。"

Q&A

Q1：SHADOW#REACTOR恶意软件活动有什么特点？

A：SHADOW#REACTOR是一种新型恶意软件活动，采用隐蔽的多阶段攻击链投递Remcos RAT远程管理工具。其最独特的特点是依赖中间纯文本分阶段器，结合PowerShell内存重构和.NET Reactor保护的反射加载器，旨在复杂化检测和分析工作，具有自我修复设计能力。

Q2：Remcos RAT是如何在系统中建立持久性的？

A：Remcos RAT通过多阶段执行建立持久性：首先VBS启动器调用PowerShell下载器获取分片载荷，然后.NET Reactor加载器在内存中解码并应用远程配置，最后利用合法的MSBuild.exe进程完成部署，同时投放执行包装脚本以重新触发初始脚本执行。

Q3：这种攻击主要针对哪些目标？

A：该攻击活动范围广泛且具有机会主义特征，主要针对企业和中小型商业环境。使用的工具和技术与典型的初始访问代理一致，这类攻击者获得目标环境立足点后将其出售给其他参与者获取经济利益。目前没有证据表明可归因于已知威胁组织。