黑客使用 TON 区块链,以合法软件躲避恶意软件检测

网络安全研究人员已识别出一项恶意软件活动,该活动利用 TON 区块链、合法软件以及可信的 Windows 组件来构建一种具备弹性的命令与控制(C2)基础设施,从而能够规避传统的安全防护措施。攻击者将区块链技术与广泛使用的应用程序结合起来,增加恶意软件检测难度,并破坏传统的下线(takedown)行动。这一活动反映出一种日益增长的趋势:网络犯罪分子利用去中心化技术和合法软件生态系统,创建高度具备弹性的恶意软件基础设施,使其能够承受域名屏蔽和传统安全防御。

钓鱼邮件启动多阶段攻击链

攻击从伪装成与预订相关通信的钓鱼邮件开始。收件人被引导到一个 Google Share 链接,该链接会将其重定向到一个恶意网站,在那里他们被提示直接下载或通过类似 ClickFix 的界面下载一个 ZIP 归档文件。下载的归档包含一个恶意 Windows 快捷方式(LNK)文件,攻击者通过使用来自 Windows shell32.dll 库的图标来将其伪装成图片。

一旦打开该快捷方式文件,它会静默执行一段被混淆的 PowerShell 命令。攻击者并不以明文形式存储下载域名,而是将地址编码为两个较大的数值。嵌入的 PowerShell 脚本通过执行算术和按位运算来重建恶意域名,使基础设施在静态分析过程中更难被安全工具识别。

随后,PowerShell 载荷会检查目标设备上是否已安装 Node.js 运行时。如果未安装,恶意软件会从项目官方分发基础设施下载合法的 Windows 版 Node.js,并将其解压到用户的 LocalAppData 目录中。通过依赖真实的软件组件而不仅仅是恶意可执行文件,攻击者试图将其活动与合法应用行为相融合,从而降低被检测的可能性。

JavaScript 载荷使用自定义虚拟机解释器

在安装或定位到 Node.js 之后,恶意软件会解密一个使用 AES-128-CBC 加密并进行 Base64 编码保护的 JavaScript 载荷。解密后的代码会通过合法的 Node.js 运行时执行,并将命令与控制配置作为运行时参数提供。

研究人员表示,该 JavaScript 植入物被高度混淆,并通过自定义虚拟机解释器来执行,而不是通过标准 JavaScript。这种技术显著增加了恶意软件分析的复杂度,因为它阻止传统的基于特征码的安全工具轻易识别恶意代码。

基于区块链托管的配置支持 C2 更新

该攻击以 TON 区块链作为一种具备弹性的命令与控制基础设施,使攻击者能够在不修改或重新分发已安装在受感染系统上的恶意软件的情况下更新恶意指令。调查人员识别出与该活动相关的一些历史命令与控制域名。然而,恶意软件并不完全依赖固定域名来下发指令。相反,当基础设施被封锁时,运营者可以修改托管在区块链上的配置数据,从而让感染系统在无需替换恶意软件本体的情况下获取更新的命令与控制信息。

恶意软件能够下载 Windows 可执行文件、PowerShell 脚本以及额外的 JavaScript 载荷。在执行已下载的 Windows 程序之前,它会验证可移植可执行文件(PE)文件头,将文件以随机生成的名称存放到临时目录中,并可能尝试将文件路径添加到 Microsoft Defender 的排除列表,以降低执行期间被检测的几率。

建议安全团队监控钓鱼与未经授权的软件安装

研究人员建议组织保持警惕,防范使用旅行和预订相关主题的钓鱼活动,尤其是包含 Google Share 链接的邮件,这些链接会将用户重定向到可疑下载。他们还建议监控包含以图片形式伪装的 LNK 快捷方式文件的 ZIP 归档文件,以及企业系统上异常的 PowerShell 活动和未经授权的 Node.js 安装。

常见问题解答

该恶意软件活动中 TON 区块链用于什么?

TON 区块链被用作一种具备弹性的命令与控制基础设施,使攻击者能够在不修改或重新分发已安装在受感染系统上的恶意软件的情况下更新恶意指令。只要基础设施被封锁,运营者就可以修改托管在区块链上的配置数据,从而让感染系统获取更新的命令与控制信息。

恶意软件如何伪装成合法软件?

恶意软件从项目官方分发基础设施下载合法的 Windows 版 Node.js,并通过真实的 Node.js 运行时执行加密的 JavaScript 载荷。通过依赖可信的软件组件和 Windows 工具,攻击者将其活动与合法应用行为相融合,从而降低安全工具检测到它的可能性。

免责声明:本页面信息可能来自第三方,仅供参考,不代表 Gate 的观点或意见,亦不构成任何财务、投资或法律建议。数字资产交易风险较高,请勿仅依赖本页面信息作出决策。具体内容详见声明
评论
0/400
暂无评论