AsyncRAT 攻击变化新动向
💡
原文中文,约4200字,阅读约需10分钟。
📝
内容提要
研究人员发现了一种持续11个月的攻击行动,通过嵌入网络钓鱼页面的JavaScript脚本向受害者投递AsyncRAT木马。攻击者选择与美国关键基础设施相关的受害者。AsyncRAT是一种开源远控木马,具有按键记录和载荷投递等功能。攻击者使用混淆的代码和多个阶段的攻击链来逃避检测,并尝试为每个受害者生成全新的Loader。攻击基础设施具有共同特征,如域名结构和ASN。攻击者使用DGA算法生成新域名,并对样本进行混淆和修改。
🎯
关键要点
- 研究人员发现了一种持续11个月的攻击行动,攻击者通过嵌入网络钓鱼页面的JavaScript脚本向受害者投递AsyncRAT木马。
- 攻击者选择与美国关键基础设施相关的受害者,并使用混淆的代码和多个阶段的攻击链来逃避检测。
- AsyncRAT是一种开源远控木马,具有按键记录和载荷投递等功能,因其免费和开源而被广泛使用。
- 攻击者通过高度混淆的JavaScript代码诱导受害者下载恶意脚本,并在多个阶段进行攻击。
- 攻击者使用DGA算法生成新域名,并对样本进行混淆和修改,以保持攻击的隐蔽性。
- C&C服务器通过混淆的URL和动态生成的域名来逃避检测,攻击者为每个受害者生成全新的Loader。
- 研究人员发现攻击者的基础设施具有共同特征,包括域名结构和ASN,且使用比特币等加密货币进行支付以保持匿名性。
- 攻击者在2023年使用了数百个不同的样本文件进行感染,并不断对样本进行定制化和混淆。
➡️
