深度解析:VenomRAT远控木马被执法部门“拔牙”始末

本文详细分析了VenomRAT这一基于开源Quasar RAT的远控木马的演变、主要传播者TA558的活动模式,以及2025年11月国际执法行动如何成功摧毁其基础设施并逮捕作者,对威胁生态造成的影响。

发生了什么

VenomRAT 是一款被多个网络犯罪威胁行为者使用的商品化远程访问木马。该恶意软件自2020年左右出现,但Proofpoint于2022年首次在数据中观测到它,其最频繁的使用者是针对酒店和餐饮业进行攻击的威胁行为者TA558。该恶意软件基于开源恶意软件Quasar RAT。VenomRAT本质上是Quasar RAT的克隆版本,并添加了来自其他来源的一些额外组件。

VenomRAT可用于信息收集、数据窃取、横向移动以及下载后续攻击载荷。部分VenomRAT变种包含勒索软件功能。

2025年11月13日,美国和国际执法部门宣布,作为正在进行的“Endgame行动”的一部分,已成功干扰了VenomRAT的基础设施并逮捕了该恶意软件的创建者。该行动中,恶意软件的广告和分发域名以及许可证域名均被下线。VenomRAT的主要嫌疑人已在希腊被捕。

图1. 被查封的分发域名截图。

活动详情

Proofpoint经常在电子邮件活动数据中观察到VenomRAT,从2024年中到2025年夏季,其在未归因威胁行为者和已追踪的威胁组织中的活动显著增加。

图2. 随时间推移观测到的VenomRAT活动。

最突出的VenomRAT分发者是TA558。Proofpoint自2018年开始追踪TA558,其主要目标通常是位于拉丁美洲地区的葡萄牙语和西班牙语使用者,在西欧和北美也有观察到额外的攻击目标。虽然该行为者偏爱使用VenomRAT,但TA558也分发其他商品化恶意软件,包括njRAT、Remcos RAT,以及近期的XWorm和PDQ Connect。

自2022年以来,TA558的活动占Proofpoint电子邮件活动数据中观测到的VenomRAT数量的58%。

图3. 按威胁行为者划分的VenomRAT分发情况。

TA558的VenomRAT活动通常包含1000封或更少的邮件,诱饵为葡萄牙语、西班牙语,偶尔是英语。在近期活动中,邮件包含指向JavaScript文件的链接。如果该文件被执行,则会生成PowerShell以下载并运行VenomRAT。

图4. 2025年8月,TA558冒充投诉网站的诱饵邮件。

使用VenomRAT的未归因威胁集群数量在2024年有所增加,但另一个突出的威胁行为者TA2541也偶尔将该恶意软件纳入其武器库。该行为者冒充航空公司,向全球(尤其是北美和欧洲)的公司分发恶意软件。其活动通常包含少于1000封邮件,并遵循与TA558类似的攻击链,即链接指向JavaScript文件,若被执行则下载并运行恶意软件。

图5. 2025年4月,TA2541冒充航空包机公司的诱饵邮件。

影响

对VenomRAT的干扰将导致使用该恶意软件的威胁行为者转向新的攻击载荷。自2025年9月以来,Proofpoint未在活动数据中观察到VenomRAT,而TA558已经开始青睐其他恶意软件,包括Remcos RAT和XWorm,自10月以来活动量较低。

对于每一次执法行动,特别是与“Endgame行动”相关的行动,Proofpoint都观察到使用电子邮件作为第一阶段恶意软件交付手段的行为者出现显著的行为转变。干扰行动通常除了带来财务和技术影响外,还会产生心理影响。在此案例中,除了转向其他攻击载荷,曾使用VenomRAT的威胁行为者可能会对恶意软件提供商变得更加警惕和不信任,甚至担心自己的活动被执法部门监控。逮捕行动也将阻止该恶意软件作者在未来开发和销售新工具。

“Endgame行动”是一项由全球执法部门和私营部门合作伙伴(包括Proofpoint)开展的广泛努力,旨在干扰恶意软件和僵尸网络基础设施,并识别涉嫌参与相关活动的个人。2024年5月,第一次“Endgame行动”干扰行动针对了包括IcedID、Bumblebee、SystemBC、Pikabot、SmokeLoader在内的多个恶意软件家族,欧洲刑警组织称其为“有史以来针对在勒索软件部署中扮演重要角色的僵尸网络的最大规模行动”。第二次重大“Endgame行动”于2025年5月进行,针对了包括DanaBot、WarmCookie、Trickbot和Hijack Loader在内的更多恶意软件家族及其创建者。主要的恶意软件即服务Lumma Stealer也已成为执法部门的目标。

“Endgame行动”的干扰已显著影响了整体的电子邮件威胁格局,特别是干扰了与已知初始访问代理攻击载荷及通过电子邮件活动传播的支持性恶意软件家族相关的活动。例如,2023年2月,Proofpoint数据中17%的电子邮件恶意软件活动与“Endgame行动”针对的恶意软件有关,而到2025年9月,这一数字已降至1%。

Proofpoint的使命是为我们的客户提供最佳的人本保护,以应对高级威胁。在可能且适当的情况下,正如在“Endgame行动”中一样,Proofpoint利用其团队的知识和技能帮助更广泛的受众防范广泛的恶意软件威胁。Proofpoint很荣幸协助了针对VenomRAT活动的执法调查。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次