多阶段网络钓鱼活动针对俄罗斯，使用失忆症远程访问木马和勒索软件

我们发现了一种新的多阶段网络钓鱼活动，该活动以俄罗斯用户为目标，使用勒索软件和名为 Amnesia RAT 的远程访问木马。

Fortinet FortiGuard Labs 研究员 Cara Lin 在本周发布的一份技术分析报告中指出： “攻击始于社交工程诱饵，这些诱饵通过精心制作的、看似常规且无害的商业主题文档传播。这些文档及其配套脚本起到视觉干扰的作用，将受害者引向虚假的任务或状态消息，而恶意活动则在后台悄无声息地进行。”

此次攻击活动之所以引人注目，主要有两个原因。首先，它利用多个公有云服务来分发不同类型的有效载荷。GitHub 主要用于分发脚本，而二进制有效载荷则存储在 Dropbox 上。这种分离式部署增加了拦截难度，有效提升了攻击的韧性。

Fortinet指出，此次攻击活动的另一个“显著特征”是滥用DefendNot来禁用Microsoft Defender。DefendNot由一位网名为es3n1n的安全研究人员于去年发布，其目的是欺骗安全程序，使其误以为Windows主机上已安装了其他杀毒软件。

该攻击活动利用社会工程学手段分发压缩文件，其中包含多个诱饵文档和一个恶意 Windows 快捷方式 (LNK)，这些快捷方式的文件名使用俄语。LNK 文件使用双重扩展名（“Задание_для_бухгалтера_02отдела.txt.lnk”），以迷惑攻击者，使其误以为这是一个文本文件。

执行时，它会运行 PowerShell 命令来检索托管在 GitHub 存储库（“github[.]com/Mafin111/MafinREP111”）上的下一阶段 PowerShell 脚本，该脚本随后用作第一阶段加载器来建立立足点，使系统准备好隐藏恶意活动的证据，并将控制流移交给后续阶段。

Fortinet公司表示：“该脚本首先通过编程方式隐藏PowerShell控制台窗口，从而抑制脚本的可见执行。这样就消除了脚本正在运行的任何直接视觉指示。然后，它会在用户的本地应用程序数据目录中生成一个诱饵文本文件。一旦写入磁盘，该诱饵文件就会自动打开。”

为了维持骗局，脚本会在向受害者展示文档后，使用Telegram Bot API向攻击者发送消息，告知其第一阶段已成功执行。经过故意设置的 444 秒延迟后，PowerShell 脚本会运行托管在同一存储库位置的 Visual Basic 脚本（“SCRRC4ryuk.vbe”）。

这提供了两个关键优势，即保持加载器轻巧，并允许威胁行为者动态更新或替换有效载荷的功能，而无需对攻击链本身进行任何更改。

该 Visual Basic 脚本经过高度混淆，充当控制器，直接在内存中组装下一阶段的有效载荷，从而避免在磁盘上留下任何痕迹。最终阶段的脚本会检查自身是否以管理员权限运行，如果没有，则会反复显示用户帐户控制 ( UAC ) 提示，强制受害者授予其必要的权限。脚本在每次尝试之间会暂停 3000 毫秒。

在下一阶段，恶意软件会启动一系列操作来抑制可见性、破坏终端保护机制、进行侦察、阻止恢复，并最终部署主要有效载荷——

• 配置 Microsoft Defender 排除项，以阻止该程序扫描 ProgramData、Program Files、桌面、Downloads 和系统临时目录。
• 使用 PowerShell 关闭其他 Defender 保护组件
• 部署 defendnot 工具，使其在 Windows 安全中心界面注册一个虚假的防病毒产品，并导致 Microsoft Defender 自行禁用，以避免潜在的冲突。
• 利用从GitHub仓库下载的专用.NET模块进行环境侦察和监视，该模块每30秒截取一次屏幕截图，将其保存为PNG图像，并使用Telegram机器人导出数据。
• 通过篡改基于注册表的策略控制来禁用 Windows 管理和诊断工具
• 实现文件关联劫持机制，使得打开具有特定预定义扩展名的文件时，会向受害者显示一条消息，指示他们通过 Telegram 联系攻击者。

在成功解除安全控制和恢复机制后部署的最后一个有效载荷之一是 Amnesia RAT（“svchost.scr”），该程序从 Dropbox 获取，能够大规模窃取数据并进行远程控制。它旨在窃取存储在网页浏览器、加密货币钱包、Discord、Steam 和 Telegram 中的信息，以及系统元数据、屏幕截图、摄像头图像、麦克风音频、剪贴板内容和活动窗口标题。

Fortinet表示：“该远程访问木马（RAT）支持完整的远程交互功能，包括进程枚举和终止、shell命令执行、任意有效载荷部署以及执行其他恶意软件。数据窃取主要通过HTTPS协议，利用Telegram Bot API进行。较大的数据集可能会上传到GoFile等第三方文件托管服务，并通过Telegram将下载链接转发给攻击者。”

总而言之，Amnesia RAT 能够窃取凭证、劫持会话、进行金融欺诈和实时数据收集，使其成为账户接管和后续攻击的综合工具。

该脚本投放的第二个有效载荷是一种勒索软件，它源自 Hakuna Matata 勒索软件家族，配置为加密受感染端点上的文档、存档、图像、媒体、源代码和应用程​​序资产，但在此之前，它会终止任何可能干扰其运行的进程。

此外，该勒索软件还会监控剪贴板内容，并在用户不知情的情况下将加密货币钱包地址修改为攻击者控制的钱包地址，从而重定向交易。感染过程最后，脚本会部署 WinLocker 来限制用户交互。

林总结道：“这条攻击链表明，现代恶意软件攻击如何在不利用软件漏洞的情况下实现系统完全入侵。攻击者通过系统性地滥用Windows原生功能、管理工具和策略执行机制，在部署持久性监控工具和破坏性有效载荷之前，禁用终端防御系统。”

为了应对 defendnot 滥用 Windows 安全中心 API 的行为，微软建议用户启用篡改保护功能，以防止未经授权更改 Defender 设置，并监控可疑的 API 调用或 Defender 服务更改。

此次事件发生之际，俄罗斯企业实体的人力资源、薪资和内部行政部门遭到网络威胁组织 UNG0902 的攻击，该组织试图植入名为 DUPERUNNER 的未知植入程序，该程序负责加载AdaptixC2——一个命令与控制 (C2) 框架。这场代号为“DupeHike 行动”的鱼叉式网络钓鱼攻击活动自 2025 年 11 月以来一直在持续进行。

Seqrite Labs表示，这些攻击涉及使用以员工奖金和内部财务政策为主题的诱饵文档，以诱骗收件人打开 ZIP 存档中的恶意 LNK 文件，从而导致 DUPERUNNER 的执行。

该植入体连接到外部服务器以获取并显示诱饵 PDF 文档，同时在后台进行系统分析和 AdaptixC2信标的下载。

近几个月来，俄罗斯组织也可能成为另一个名为Paper Werewolf（又名 GOFFEE）的威胁行为者的目标，该行为者利用人工智能 (AI) 生成的诱饵和编译为Excel XLL 加载项的DLL 文件来提供名为 EchoGather 的后门。

Intezer 安全研究员 Nicole Fishbein表示： “一旦启动，该后门程序会收集系统信息，与硬编码的命令与控制 (C2) 服务器通信，并支持命令执行和文件传输操作。它通过 WinHTTP API 使用 HTTP(S) 与 C2 服务器通信。”