企业文化

网络钓鱼活动利用 AWS 和 GitHub 发动 RAT 攻击

2025-05-14

新的钓鱼攻击活动揭露:利用公共服务存储恶意软件

重要摘要

攻击者利用公共服务如Amazon Web Services和GitHub存储恶意软件。通过钓鱼电子邮件发起攻击,目标是感染系统并控制受害者。攻击使用高危Java下载器,旨在传播VCURMS远程访问木马RAT和知名的STRRAT RAT。攻击者使用多种混淆技术以避开检测。

最近,FortiGuard Labs揭示了一个新的钓鱼攻击活动,攻击者利用公共服务如Amazon Web Services和GitHub存储恶意软件,并通过电子邮件发动攻击,以获取新感染系统的控制权。该活动的主要目标是通过电子邮件引诱受害者加载一个恶意的高严重性Java下载器,这个下载器旨在传播VCURMS远程访问木马RAT及知名的STRRAT RAT。所有安装了Java的平台都会受到影响,无论是什么类型的组织,都有可能成为目标。

旋风加速永久免费版

研究人员在3月12日的部落格文章中解释,这封钓鱼电子邮件针对组织内的员工,暗示有支付正在进行,并鼓励他们点击按钮以确认支付细节。一旦受害者点击了连结,就会下载一个托管在AWS上的有害JAR文件到他们的电脑上。

尽管VCURMS RAT主要处理命令和控制C2通信,但在第二阶段中还包括了一个修改版的Rude Stealer和一个键盘记录器,用于收集受害者的敏感数据。研究人员发现,威胁行为者使用多种混淆技术来避免检测,然后利用电子邮件与C2伺服器进行通信。

网络钓鱼活动利用 AWS 和 GitHub 发动 RAT 攻击

根据Critical Start的威胁检测工程师亚当尼尔Adam Neel的说法,AWS已成为恶意行为者用来托管恶意软件的流行选择,因为其操作简易,并且在被发现和报告之前,攻击者可以获得保护。他还指出,攻击者出于类似原因也使用GitHub来托管恶意软件。这些服务让攻击者能够避免检测,直到他们已经在系统中取得立足点,然后部署他们的恶意软件和工具;常用脚本从这些云服务中提取他们的工具。

有趣的是,在这次攻击中安装的其中一个RATWindowsJAR通过电子邮件设置其C2,尼尔说道。“这种战术并不常见。一旦准备就绪,攻击者就能够发送电子邮件,这些电子邮件会被恶意软件解析并转化为各种命令。尽管这次攻击利用了一些不常见的混淆和防御逃避技术,但重要的是要注意,只要用户不下载并执行钓鱼电子邮件中的附件,他们就会保持安全。”

此外,Symmetry Systems的数据安全首席宣导克劳德曼迪补充道,网络犯罪分子多年前就开始利用商业基础设施和能力进行“活下去”。这种方法让攻击者成功地避开了基于签名和声誉的安全工具,并利用“受信任”的服务来传递有效载荷。曼迪解释道:“对于使用AWS和其他云服务的组织来说,挑战在于他们经常不知道自己拥有或使用的帐户或服务,只是将这看作AWS中的另一个未知,但隐含信任的帐户。”他表示,“直到组织能