新型恶意软件攻击利用LNK文件在Windows系统部署REMCOS后门

调查始于检测到两个扫描IP地址91.238.181[.]225和5.188.86[.]169共享一个共同的Secure Shell（SSH）指纹（b5:4c:ce:68:9e:91:39:e8:24:b6:e5:1a:84:a7:a1:03）。网络安全研究人员发现了一个复杂的多阶段恶意软件活动，利用恶意的Windows LNK快捷方式文件部署REMCOS后门，这是一种能够完全控制系统的高效远程访问木马。

该指纹通过Shodan和Fofa等侦察工具识别出一个扩展的138台服务器网络，突显了可能与活动命令与控制（C2）操作相关的更广泛基础设施。

通过网络探测发现

攻击链通常通过钓鱼邮件或恶意下载启动，将LNK文件伪装成无害的文档，如发票或Word文件，利用Windows默认隐藏文件扩展名的行为欺骗用户。执行时，快捷方式触发一个隐藏的PowerShell命令，下载并解码Base64编码的有效负载，最终安装REMCOS后门以实现持久访问、键盘记录和数据外泄。

在此活动中，名为“ORDINE-DI-ACQUIST-7263535”的恶意LNK文件（SHA-256哈希：506ecb76cf8e39743ec06129d81873f0e4c1ebfe7a352fc5874d0fc60cc1d7c6）调用powershell.exe并附带隐藏的命令行参数。

LNK文件对普通用户的外观

该参数使用System.Net.WebClient从域shipping-hr.ro/m/r/r.txt获取Base64编码的文件，将其保存为隐藏的C:\ProgramData目录中的HEW.GIF。脚本随后将此内容解码为伪装成CHROME.PIF的二进制可执行文件，这是一个模仿Chrome相关程序但作为MS-DOS可执行文件运行的PIF文件。

启动时，CHROME.PIF（SHA-256：5ec8268a5995a1fac3530acafe4a10eab73c08b03cabb5d76154a7d693085cc2）丢弃其他工件，包括用于通过快捷方式实现持久性的Xufewgoz.url和批处理文件[.].cmd，同时创建互斥体以确保单实例执行。

有效负载行为

静态分析显示，有效负载是一个基于PE映像的MS-DOS程序，通过SetWindowsHookExA钩入user32.dll以实现键盘记录器，捕获输入并将其存储在%ProgramData%\remcos\logs.dat中，同时保存屏幕截图和系统日志。

网络通信建立与IP如92.82.184[.]33（罗马尼亚，通过TLSv1.2与shipping-hr.ro关联）和198.23.251.10（美国，与mal289re1.es关联）的C2连接，启用REMCOS的核心功能：任意命令执行、文件传输、网络摄像头/麦克风捕获以及通过自定义二进制协议进行TCP远程控制。

根据报告，这种无文件方法通过在内存中运行有效负载、滥用受信任的工具如PowerShell和mshta.exe，以及在LNK属性（如图标路径或备用数据流）中隐藏恶意命令，来规避传统检测。

LNK文件目标路径

该活动的隐蔽性源于其社会工程策略，绕过基于Office的攻击中常见的宏警告，并利用用户对熟悉文件类型的信任。对于清除，专家建议启动带网络的安全模式，并使用UltraAV等工具进行扫描（检测为Trojan.WinLNK.Powershell_S03），随后手动检查任务计划程序、注册表运行键和启动文件夹以删除可疑文件如CHROME.PIF。

预防强调实时防病毒保护、避免不受信任的附件以及通过任务管理器监控系统性能。随着恶意LNK文件的演变，此攻击突显了需要对来自电子邮件或网络共享的看似无害的快捷方式保持警惕，如果不及时处理，可能导致广泛的系统泄露。

入侵指标（IOCs）