欧洲遭遇Rhadamanthys信息窃取病毒的新型钓鱼攻击

事件概述

Cybereason安全服务团队观察到一起针对中欧和东欧地区的钓鱼活动，攻击者使用版权侵权诱饵，通过DLL侧加载技术传播Rhadamanthys信息窃取病毒的变种。威胁行为者利用合法PDF阅读器的DLL加载行为来劫持执行流程，在受信任进程中实现隐秘的代码执行。

攻击影响

全球安全运营中心团队正在调查多起与新型Rhadamanthys信息窃取病毒钓鱼活动相关的事件。自2025年4月初以来，Cybereason已观察到相同的版权侵权诱饵针对以下欧洲国家：阿尔巴尼亚、奥地利、保加利亚、德国、希腊、匈牙利、爱尔兰、以色列、意大利、波兰、葡萄牙、罗马尼亚、斯洛伐克、斯洛文尼亚、西班牙和英国。

攻击技术细节

钓鱼邮件策略

这些活动利用基于恐惧、高度本地化的钓鱼邮件，使用特定区域语言来增加可信度和用户参与度。威胁行为者采用各种技术来规避检测，包括代码混淆、shellcode加密、将恶意代码隐藏在资源数据中以及扩大文件大小。

攻击流程

1. 初始访问：钓鱼邮件包含恶意下载链接，通过Dropbox、Discord或Mediafire等服务托管的重定向链

2. 载荷传递：下载的存档包含合法的Haihaisoft PDF阅读器可执行文件（重命名为与钓鱼诱饵匹配的名称）和名为msimg32.dll的恶意DLL

3. DLL侧加载：DLL通过DLL搜索顺序劫持加载到PDF阅读器进程中

4. 持久化：恶意软件通过Autorun注册表键建立持久性

5. 最终载荷：下载Rhadamanthys信息窃取病毒

技术规避手段

恶意软件采用复杂的加载器执行多阶段shellcode，包含先进的规避技术：

• API函数指针的动态解析
• 使用Heaven’s Gate技术
• 间接系统调用来绕过用户模式API挂钩

恶意软件分析

载荷分析

分析保加利亚语的钓鱼诱饵"Доказателство за нарушение.zip"（英文意为"Proof of infringement"），存档包含三个组件：

• 良性PE文件（合法的Haihaisoft PDF阅读器）
• 恶意DLL（msimg32.dll）
• 二进制诱饵文件

技术特征

• DLL包含超过2000个导出函数和3个TLS回调
• 使用TLS回调在执行实际DLL入口点之前隐藏恶意代码执行
• 采用间接系统调用技术绕过用户模式挂钩
• 利用大型文件大小（约500MB）作为规避技术

检测与防护

Cybereason防御平台成功检测到加载器的持久化机制以及进程注入和窃取程序的部署。建议采取以下措施：

1. 在Cybereason平台中启用签名和人工智能功能，确保为这两个功能选择检测和预防模式
2. 监控调用rundll32.exe的注册表自动运行条目，其中DLL位于用户可写目录中
3. 删除或限制已知被滥用于侧加载的未使用软件
4. 将上述IoC添加到自定义信誉中，设置为"阻止和预防"

妥协指标（IOC）

IP地址

• 147[.]124[.]219[.]157（Rhadamanthys C2）

SHA1哈希

• 22CBE36E44D055CCB801B276C07708391F27F0D5
• 7526A425D342E19162E4905C7158E081E9B2704C
• 等多个哈希值（Rhadamanthys侧加载为msimg32.dll）

域名

• humanitify[.]com
• humantily[.]com
• kiteaero[.]net
• 等多个用于重定向到Mediafire的Cloudflare托管网站

URL缩短服务

• t2m[.]co
• goo[.]su
• tr[.]ee

结论

本文展示了如何滥用合法PDF阅读器进程通过DLL侧加载技术加载恶意DLL。攻击使用TLS回调在执行实际DLL入口点之前隐藏恶意代码执行，并采用间接系统调用技术绕过用户模式挂钩，Cybereason在侦察和进程注入阶段成功检测到该攻击。