太长不看

详细介绍威胁行为者如何分发 VenomRAT 等恶意程序
攻击者利用多层混淆和规避技术

受影响的平台：Microsoft Windows

受影响的用户：Microsoft Windows

影响：被盗信息可用于未来攻击

严重级别：高

去年，FortiGuard实验室揭示了8220团伙利用ScrubCrypt针对存在漏洞的Oracle WebLogic服务器发起攻击。ScrubCrypt被描述为一种“反病毒规避工具”，可以将可执行文件转换为无法检测到的批处理文件。它提供了多种操作恶意软件的选项，使得杀毒软件更难以检测到。

我们最近发现一个威胁参与者正在分发包含恶意可扩展矢量图形 (SVG) 文件的网络钓鱼电子邮件。该电子邮件引诱受害者点击附件，该附件会下载一个 ZIP 文件，其中包含用 BatCloak 工具混淆的批处理文件。然后，ScrubCrypt 用于加载最终有效负载 VenomRAT，同时保持与命令和控制 (C2) 服务器的连接，以在受害者的环境中安装插件。从C2服务器下载的插件文件包括VenomRAT版本6、Remcos、XWorm、NanoCore以及专为特定加密钱包设计的窃密程序。

钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图1：攻击链

初始访问

攻击者通过发送网络钓鱼电子邮件来发起攻击，表明货物已送达。它还包括随附的发票。该附件是一个名为“INV0ICE_#TBSBVS0Y3BDSMMX.svg”的 SVG 文件，其中包含嵌入的 Base64 编码数据。钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图 2：网络钓鱼电子邮件

当受害者打开SVG文件后，ECMAScript会创建一个新的blob，并使用“window.URL.createObjectURL”将解码后的数据作为一个名为“INV0ICE_#TBSBVS0Y3BDSMMX.zip”的ZIP文件释放出来。钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图 3：释放 ZIP 文件的 SVG 文件

解压缩后的文件是一个被混淆的批处理文件，它将其有效载荷嵌入到“——BEGIN X509 CRL—–。”部分中。根据第一行解码后的注释，推测这个批处理文件是由BatCloak工具创建的，该工具以使用重度混淆的批处理文件部署各种恶意软件家族而闻名。自2022年以来，BatCloak已被用于分发恶意软件，并成功规避了防病毒程序的检测。

该脚本最初将PowerShell执行文件复制到“C:UsersPublicxkn.exe”，并在后续命令中使用该副本。它在每个命令中包含参数“-WindowStyle hidden -inputformat none -outputformat none -NonInteractive”，以隐藏其活动，防止受害者注意到。然后，它解码恶意数据并将其保存为“pointer.png”。十六进制解码后，结果被保存为“pointer”，并移动到“C:UsersPublicLibrariespointer.cmd”。执行“pointer.cmd”时，它会使用“cmd /c del”删除上述所有文件。钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图 4：混淆的批处理文件图 5：去混淆后的脚本图6：解码数据“pointer.png”

ScrubCrypt

“pointer.cmd” 文件作为 ScrubCrypt 批处理文件。它故意充斥着大量垃圾字符串，以模糊可读性。它包含两个用 Base64 格式编码的有效载荷，并采用 AES-CBC 解密和 GZIP 压缩来解压它们。它使用 PowerShell 命令“[System.Reflection.Assembly]::Load”从字节数组加载解密的 .NET 程序集，访问其入口点方法并调用该方法来启动程序集代码的执行。

钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图 7：ScrubCrypt 批处理文件

钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图 8：重组的 ScrubCrypt 批处理文件

第一个payload有两个主要目的：建立持久性和加载目标恶意软件。它确定当前用户是否属于 Windows 操作系统中的内置管理员角色，以配置其持久性设置。此外，它还会检查是否存在任何调试器。如果发现，它会终止程序以避免检测。钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图9：主要功能

如果当前用户具有管理员权限，该程序会将自己复制到“%AppData%/strt.cmd”，并使用PowerShell命令创建一个名为“OneNote 83701”的定时任务。当用户登录时，此任务被触发，执行“strt.cmd”，并使用提升的权限运行。相反，如果用户没有管理员权限，则该程序将自己复制到“启动”文件夹中，并使用文件名“strt.cmd”。

钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图 10：持久性设置最后，它从名为“P”的嵌入式资源加载程序集，其中包含压缩程序集。然后，它调用已加载程序集的入口点方法来执行 VenomRAT。

钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图 11：调用 VenomRAT

ScrubCrypt 批处理文件中的第二个有效负载用于 AMSI 绕过和 ETW 绕过。

图 12：ScrubCrypt 批处理文件中的第二个解密有效负载

钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图 13：AMSI 和 ETW 绕过

VenomRAT 毒液

VenomRAT 是一种远程访问木马 (RAT)，于 2020 年首次发现。它是著名的 Quasar RAT 的修改版本，通过垃圾邮件中的恶意附件进行传播。网络犯罪分子利用它来获得对目标系统的未经授权的访问和控制。与其他 RAT 一样，VenomRAT 使攻击者能够远程操纵受感染的设备，从而使他们能够在受害者不知情或同意的情况下执行各种恶意活动。VenomRAT 的基本配置是 Base64 编码和 AES-CBC 加密。解密后的数据如图14所示。钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图 14：VenomRAT 中的初始设置完成环境检查后，VenomRAT 启动与其 C2 服务器的通信。传输的初始数据包包含有关受害者的基本信息，例如硬件规格、用户名、操作系统详细信息、摄像头可用性、执行路径、前台窗口名称以及安装的防病毒产品的名称。

图 15：客户端信息数据包所有 C2 会话均使用其配置中指定的证书进行加密。通过调试程序，我们提取并解压了数据包，揭示了与 C2 服务器建立的保活会话。钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图 16：加密的 C2 会话

钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图 17：保活消息虽然 VenomRAT 的主要程序可能看起来很简单，但它维护与 C2 服务器的通信通道，以获取用于各种活动的附加插件。下面概述了负责解析来自服务器的数据包的程序集。当接收到来自服务器的“save_Plugin”指令时，它可以解压数据并将其保存到注册表中。钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图 18：VenomRAT 处理数据包图 19：在注册表中保存的插件数据

“save_Plugin”数据包含一个名为“SendFile”的DLL文件，它可以解析从C2服务器发送的其他“plug_in”文件。如果受害者的环境中已存在同名的插件文件，则会删除现有文件并使用当前数据创建一个新文件。解压缩“plug_in”数据包数据后，它会检查“文件名”以确定要使用哪个PowerShell命令。钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图 20：“SendFile.dll”处理其他插件数据在图 21 中，一旦从服务器收到“插件”数据包，VenomRAT 就会读取注册表以获取“SendFile.dll”的数据，并执行插件中包含的有效负载。钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图21：从C2服务器接收到的插件数据

图 22：VenomRAT 使用“SendFile.dll”调用插件数据

在下面的部分中，我们将详细介绍 VenomRAT C2 服务器提供的插件。

插件 1 – Venom RAT v6.0.3

第一个插件嵌入在 ScrubCrypt 中，加载时不会在受害者环境中登陆任何执行文件，完美隐藏了其踪迹。ScrubCrypt 批处理文件中的第二个有效负载称为“ScrubBypass”。该文件经过高度混淆，以隐藏代码流、函数和字符串。ScrubBypass的主要工作是修补AMSI扫描缓冲区和EtwEventWrite以实现AMSI和ETW绕过。

钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图 23：ScrubBypass

插件 VenomRAT 版本为 6.0.3。它具有键盘记录功能，并将其 C2 服务器信息存储在 Pastebin 网站上。它收集多种数据类型，监控受害者的键盘活动，并将窃取的数据持续发送到 C2 服务器。

图 24：带有抓取器和键盘记录器的 VenomRAT

图 25：配置

插件2-NanoCore

NanoCore 是一种臭名昭著的远程访问木马 (RAT)，于 2013 年首次发现。它以能够在受害者不知情的情况下远程访问和控制受害者的计算机而闻名。由于其源代码被泄露并在地下论坛中广泛传播，它仍然与网络犯罪世界相关。该插件通过混淆的 VBS 文件分发到受感染的设备，如图 26 所示。

图 26：混淆的 VBS 脚本

脚本将下一阶段的数据存储在网站“hxxps://nanoshield[.]pro/files”上，该网站也充当加密服务提供商。起初，它检索一个JPG文件，并使用反向URL作为参数解码目标部分。尽管访问第二个URL，“hxxps://nanoshd[.]pro/files/new_image.jpg?14441723”，未能成功，但将主机名修改为“nanoshield.pro”使我们能够访问类似文件，如第一个URL所示“hxxps://nanoshield[.]pro/new_image2.jpg?166154725”。

图 27：解码后的 VBS 脚本

图 28：JPG 文件

JPG 文件采用隐写方法将代码隐藏在图片内，在标签 <> 和 <> 之间嵌入以 Base64 编码的恶意软件数据。解码JPG文件后，我们得到了.NET执行文件。该文件通过配置注册表项“HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun”来建立持久性，并检查是否有任何虚拟环境。然后，它从“nanoshield.pro/files” URL 下载编码数据，反转数据，替换特定字符串“DgTre”，并使用“RegAsm”代理 NanoCore 的执行。

图 29：解码后的 JPG 文件加载下一阶段的恶意软件

图 30：来自 nanoshield.pro/files 的编码数据

图 31：NanoCore

插件3-XWorm

XWorm 是一种 RAT，通过 USB 闪存驱动器等可移动驱动器传播，感染 Windows 系统。它可以窃取信息或允许远程访问。图 32 显示了来自 VenomRAT C2 服务器的插件，数据包末尾的文件名为“xwrm3.1.vbs”。

图 32：来自 VenomRAT C2 服务器的插件数据

图 33：解码后的 VBS 脚本

图 34：XWorm

除了 VBS 文件之外，我们还检索了另一个“plug_in”，其中包含尝试执行 PowerShell 命令的批处理脚本。它从“hxxps://kisanbethak[.]com/K/Universallsningen.lpk”下载编码数据。

图 35：执行 Guloader PowerShell 的批处理脚本

图 36：带有编码数据的网

PowerShell 代码的下一阶段位于已解码的“Universallsningen.lpk”文件的末尾。尽管包含大量垃圾注释来混淆分析，PowerShell 脚本还是使用 Process Hollowing 技术将 shellcode 注入合法进程。在注入和环境验证之后，shellcode 执行最终的恶意软件 XWorm。在本次攻击场景中，GuLoader还部署了NanoCore和Remcos。钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶图 37：解码后的“Universallsningen.lpk”中的 PowerShell 脚本

插件 4 – Remcos

Remcos 是一种远程访问木马 (RAT)，首次出现于 2016 年。它作为远程管理的合法软件进行销售，但经常被恶意使用。Remcos 可以让攻击者完全控制受感染的系统，使他们能够捕获击键、屏幕截图、凭据和其他敏感信息。它通常通过恶意文档或存档文件传递，并且已在网络钓鱼活动中出现。该插件使用三种方法从 VenomRAT 的 C2 分发：名为“remcos.vbs”的混淆 VBS 脚本、ScrubCrypt 和 Guloader PowerShell。

图 38：来自 VenomRAT C2 服务器的插件数据

图 39：反混淆后的 VBS 脚本

图 40：ScrubCrypt .NET 文件从资源数据“P”加载 Remcos

图 41：Guloader PowerShell

Remcos 的配置在“SETTINGS”资源中进行了 RC4 加密，解密后的数据如图 42 所示。

图 42：解密的配置

插件 5 – 窃取者

该插件不仅通过上一节中提到的混淆的 VBS 脚本进行部署，而且还嵌入到使用 SmartAssembly 混淆的 .NET 执行文件中。.NET 执行文件从资源文件“ach”中解码下一阶段有效负载并将数据写入内存。

图 43：将有效负载写入内存

然后，它将自身复制到 TEMP 文件夹，并将此复制的文件设置为名为“Nano”的计划任务。此任务在第一次触发后每 10 分钟重复一次。

图 44：复制自身并安排任务

下一阶段的有效负载更加简单。它包含恶意 DLL 文件的硬编码数组，用于窃取受害者的敏感数据。

图 45：主要功能

图 46：硬编码有效负载

DLL 文件将其配置存储在 Base64 编码数据中，包括 C2 主机名和用于加密通信的证书。

图 47：解码配置

该DLL文件持续监控用户的系统，并通过重复执行以下任务来针对特定的加密钱包、Foxmail和telegram数据：1. 收集有关受害者环境的详细信息，例如 PC 名称、用户名、防病毒软件、磁盘信息和操作系统版本。

2.验证以下路径是否存在：“%AppData%atomicLocal Storageleveldb” “%AppData%Electrumwallets”、“%AppData%Ethereumkeystore”、“%AppData%Exodus” exodus.wallet”、“%AppData%com.liberty.jaxxIndexedDB”、“%AppData%Zcash”、“%AppData%Foxmail”和“%AppData%Telegram DesktopTelegram.exe”。

3.检查以下注册表是否存在：“SoftwareBitcoinBitcoin-Qt”、“SoftwareDashDash-Qt”和“SoftwareLitecoinLitecoin-Qt”。

4.目标数据收集完成后，会将末尾附加执行文件路径的数据发送至C2服务器“markjohnhvncpure[.]duckdns.org”。

结论

该分析揭示了利用多层混淆和规避技术通过 ScrubCrypt 分发和执行 VenomRAT 的复杂攻击。攻击者采用多种方法，包括带有恶意附件的网络钓鱼电子邮件、混淆的脚本文件和 Guloader PowerShell，来渗透和危害受害者系统。此外，通过不同的有效负载部署插件凸显了攻击活动的多功能性和适应性。

IOCs

C2

hjkdnd[.]duckdns[.]org
mup830634[.]duckdns[.]org
markjohnhvncpure[.]duckdns[.]org
homoney177[.]duckdns[.]org
febvenom8[.]duckdns[.]org
rachesxwdavid[.]duckdns[.]org

URLs

hxxps://nanoshd[.]pro/files/new_image.jpg?14441723
hxxps://nanoshield[.]pro/new_image2.jpg?166154725
hxxps://kisanbethak[.]com/P/
hxxps://kisanbethak[.]com/K/

Files
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xxx

xxx站点

钓鱼邮件通过ScrubCrypt分发和执行 VenomRAT 、RemcosRAT等恶意程序全家桶