PureRAT 惡意軟體
網路安全研究人員發現了一次針對俄羅斯組織的大規模網路釣魚活動,其中傳播了一種名為 PureRAT 的後門惡意軟體。儘管該活動於 2023 年 3 月開始,但在 2025 年初急劇增加,攻擊次數是 2024 年同期的四倍。雖然尚未確定具體的威脅行為者,但所使用的方法和惡意軟體表明這是高度協調的行動。
目錄
欺騙性投遞:攻擊剖析
攻擊始於包含 .RAR 檔案或下載連結的網路釣魚電子郵件。此檔案檔案使用誤導性的雙重副檔名(例如,doc_054_[redacted].pdf.rar)偽裝成 Microsoft Word 或 PDF 檔案。一旦受害者打開該文件,裡面的可執行文件就會啟動。
此可執行檔執行多項隱密操作:
- 將自身複製到 %AppData% 並成為 task.exe
- 在 Startup 資料夾中建立 Task.vbs 腳本以實現持久性
- 提取並運行 ckcfb.exe
反過來,ckcfb.exe 繼續使用 InstallUtil.exe 執行解密模組。它還解密並載入包含主要 PureRAT 有效負載的 Spydgozoi.dll。
遠端控制:PureRAT 能做什麼
站穩腳跟後,PureRAT 會與命令與控制 (C2) 伺服器建立加密連線並傳遞系統資訊。然後它可以接收並執行損壞的模組,例如:
插件PC選項
- 執行自我刪除
- 重新啟動惡意軟體進程
- 關閉或重新啟動系統
插件視窗通知
- 監控活動視窗中的敏感關鍵字(例如密碼、銀行)
- 可以發起未經授權的資金轉移等行動
外掛剪輯器
- 將複製的加密貨幣錢包位址替換為攻擊者控制的位址
此外,PureRAT 也為攻擊者提供:
- 鍵盤記錄
- 遠端桌面控制
- 存取檔案、註冊表、攝影機、麥克風和正在運行的進程
分層感染:不只是PureRAT
初始可執行檔還提取了 StilKrip.exe,這是一個名為 PureCrypter 的商業下載程序,自 2022 年以來一直在流通。該工具繼續下載輔助檔案 Bghwwhmlr.wav,從而觸發新的執行鏈。該序列最終啟動 Ttcxxewxtly.exe,從而啟動 Bftvbho.dll,這是第二個惡意軟體 PureLogs 的核心元件。
PureLogs 是一個強大的資訊竊取者。一旦激活,它就會悄悄收集各種敏感數據,包括來自 Web 瀏覽器、電子郵件用戶端、VPN 服務和訊息應用程式的憑證和使用者資訊。它還針對密碼管理器、加密貨幣錢包應用程式以及廣泛使用的文件傳輸工具(如 FileZilla 和 WinSCP),使攻擊者能夠深入存取個人和組織資料。
結論:電子郵件仍然是最弱的環節
PureRAT 和 PureLogs 的結合為網路犯罪分子提供了監視、收集和控制受感染系統的廣泛能力。持續使用有害附件或連結的網路釣魚電子郵件仍然是主要切入點,凸顯了組織網路安全防禦中強大的電子郵件過濾和使用者意識的迫切需求。
