网络安全专家披露了一起活跃的恶意软件攻击活动详情,黑客正在利用开源c-ares库相关合法二进制文件中的DLL侧加载漏洞来绕过安全控制,并投放各种商业木马和窃取程序。
攻击手法分析
Trellix在分享给相关媒体的报告中表示:"攻击者通过将恶意的libcares-2.dll与任何已签名版本的合法ahost.exe文件(他们经常重命名该文件)配对来实现规避,从而执行他们的代码。这种DLL侧加载技术使恶意软件能够绕过传统的基于签名的安全防护。"
该攻击活动已被观察到分发各种恶意软件,包括Agent Tesla、CryptBot、Formbook、Lumma Stealer、Vidar Stealer、Remcos RAT、Quasar RAT、DCRat和XWorm等。
攻击目标主要是商业和工业领域(如石油天然气、进出口等)中从事金融、采购、供应链和管理工作的员工,诱饵文件使用阿拉伯语、西班牙语、葡萄牙语、波斯语和英语编写,表明攻击活动针对特定地区。
技术原理解析
攻击的核心在于将恶意版本的DLL文件放置在易受攻击的二进制文件同一目录中,利用其容易受到搜索顺序劫持的特点,执行恶意DLL的内容而非其合法对应文件,从而为威胁行为者提供代码执行能力。攻击活动中使用的"ahost.exe"可执行文件由GitKraken签名,通常作为GitKraken桌面应用程序的一部分进行分发。
在VirusTotal上对该恶意文件的分析显示,它以数十种名称分发,包括但不限于"RFQ_NO_04958_LG2049 pdf.exe"、"PO-069709-MQ02959-Order-S103509.exe"、"23RDJANUARY OVERDUE.INV.PDF.exe"、"sales contract po-00423-025_pdf.exe"和"Fatura da DHL.exe",表明使用了发票和询价单主题来诱骗用户打开文件。
Facebook钓鱼攻击激增
Trellix还报告了利用浏览器内浏览器(BitB)技术的Facebook钓鱼诈骗激增,该技术模拟Facebook认证屏幕,欺骗毫无戒心的用户输入其凭据。这通过使用iframe元素在受害者的合法浏览器窗口内创建虚假弹窗来实现,使真实和虚假登录页面几乎无法区分。
研究员Mark Joseph Marti表示:"攻击通常从钓鱼邮件开始,可能伪装成律师事务所的通信。这类邮件通常包含关于侵权视频的虚假法律通知,并包含伪装成Facebook登录链接的超链接。"
一旦受害者点击缩短的URL,他们就会被重定向到虚假的Meta验证码提示,指示受害者登录其Facebook账户。这反过来会触发一个弹窗,该弹窗采用BitB方法显示专为收集其凭据而设计的虚假登录屏幕。
多阶段恶意攻击活动
研究还发现了一个利用Python载荷和TryCloudflare隧道的多阶段钓鱼攻击活动,通过指向包含互联网快捷方式文件的ZIP压缩包的Dropbox链接来分发AsyncRAT。
Trend Micro表示:"初始载荷是一个Windows脚本宿主文件,设计用于下载和执行托管在WebDAV服务器上的其他恶意脚本。这些脚本促进了批处理文件和进一步载荷的下载,确保了无缝且持久的感染例程。"
这种攻击的突出特点是滥用现有系统工具技术,使用Windows脚本宿主、PowerShell和本机实用程序,以及Cloudflare的免费基础设施来托管WebDAV服务器并逃避检测。
部署在TryCloudflare域上的脚本被设计为安装Python环境,通过Windows启动文件夹脚本建立持久性,并将AsyncRAT外壳代码注入"explorer.exe"进程。同时,向受害者显示诱饵PDF作为分散注意力的机制,误导他们认为访问了合法文档。
Q&A
Q1:什么是c-ares DLL侧加载攻击?它是如何工作的?
A:c-ares DLL侧加载攻击是黑客利用开源c-ares库相关合法二进制文件中的漏洞进行的攻击。攻击者将恶意的libcares-2.dll与已签名的合法ahost.exe文件配对,利用搜索顺序劫持让系统执行恶意DLL而非合法文件,从而绕过安全防护并获得代码执行能力。
Q2:Facebook钓鱼攻击中的浏览器内浏览器技术是什么?
A:浏览器内浏览器(BitB)技术是一种钓鱼手段,通过使用iframe元素在受害者的合法浏览器窗口内创建虚假弹窗来模拟Facebook认证屏幕。这种技术使真实和虚假登录页面几乎无法区分,欺骗用户输入登录凭据。
Q3:AsyncRAT恶意软件是通过什么方式传播的?
A:AsyncRAT通过多阶段钓鱼攻击活动传播,利用Python载荷和TryCloudflare隧道,通过指向包含互联网快捷方式文件ZIP压缩包的Dropbox链接进行分发。攻击使用Windows脚本宿主文件作为初始载荷,下载执行托管在WebDAV服务器上的恶意脚本,并最终将恶意代码注入系统进程。
好文章,需要你的鼓励
许多人将旧电子设备堆放在储藏室或车库中,而非妥善处置。实际上,回收旧电脑和打印机既简单又通常免费。Best Buy、Staples等大型零售商均提供免费电子废品回收服务,每日可接收多台设备。在回收前,务必通过恢复出厂设置或专业工具彻底清除个人数据。如无零售店,可通过Earth911或消费技术协会的在线工具查找附近的回收中心。
这项研究针对鞑靼语这一小语种,提出了Tatoxa文本去毒化系统,通过翻译合成数据与本地化训练,在去毒效果上超越了GPT-5等商业大模型,并揭示了跨语言迁移的非直觉规律。
美国核管理委员会(NRC)近期提出对第61部分法规进行全面修订,首次为"超C类"(GTCC)低放射性核废料建立明确的许可处置路径。现有框架要求将其送入从未建成的深层地质处置库,形成"监管死胡同"。新规拟采用基于风险的分析方法,按废料实际放射性危害而非来源确定处置方式,约80%的GTCC废料或可适用近地表处置。这些废料目前分散存放于反应堆、医院及工业设施,新规将为其提供集中处置的可行路径。
三一学院与华为联合提出两阶段AI模型调度框架:先按语义聚类分配最优模型,再用轻量分类器拦截低质回答升级处理,在保留97-99%最强模型准确率的同时显著降低推理延迟。