越南黑客利用虚假版权通知传播"Lone None"窃密木马

越南威胁组织自2024年底以来一直在运行复杂的网络钓鱼活动，使用虚假版权下架通知诱骗受害者安装恶意软件。

该行动由Cofense Intelligence发现，最近随着新型信息窃取程序——被称为Lone None Stealer——的引入而升级，该程序专门针对加密货币。

初始访问

诈骗从冒充全球律师事务所官方下架请求的电子邮件开始。

这些邮件指控收件人侵犯版权，并要求从网站或社交媒体页面删除侵权内容。在某些情况下，电子邮件甚至引用目标拥有的真实Facebook账户以提高可信度。

为扩大覆盖范围，攻击者使用至少10种语言发送这些消息，包括英语、法语、德语、中文和韩语。电子邮件包含指向压缩存档（如ZIP文件）的链接。内部是看似合法的文件——PDF或图像——实际上包含恶意软件。

恶意软件投放

一旦受害者打开存档，攻击就依赖于DLL侧加载。

该技术滥用合法的签名程序（例如Microsoft Word或PDF阅读器）来秘密加载恶意的动态链接库（DLL）。通过隐藏在受信任的应用程序中，恶意软件规避了传统的安全防御。

存档通常包含合法文档以及带有误导性扩展名的有效负载文件。攻击者甚至捆绑了Haihaisoft PDF阅读器等程序来掩盖其操作。恶意DLL充当Python安装程序，使用内置的Windows工具（如certutil.exe）和捆绑的WinRAR文件来提取和运行混淆的Python脚本。

该活动提供两种不同类型的恶意软件：

• PureLogs Stealer - 一种更成熟的工具，可提取各种敏感信息，包括密码、信用卡号、会话cookie和保存在受害者设备上的加密钱包数据。
• Lone None Stealer（PXA Stealer） - 一种较新的变种，于2025年6月首次观察到，专注于加密货币盗窃。它使用剪贴板劫持，恶意软件监控系统剪贴板并将复制的钱包地址替换为攻击者控制的地址。因此，当受害者尝试转账时，资金会被转移到威胁行为者的钱包。

自发现以来，Lone None Stealer已出现在涉及Pure Logs Stealer的近三分之一（29%）报告中，表明威胁组织迅速采用了它。

不太可能的控制中心

该活动最显著的策略之一是滥用Telegram进行命令和控制（C2）。Lone None不依赖传统的C2服务器，而是将指令和有效负载链接隐藏在Telegram机器人个人资料页面中。

工作方式如下：

• 恶意软件联系Telegram机器人。
• 机器人的个人资料简介包含指向下一个有效负载的URL片段。
• 从Paste[.]rs或0x0[.]st等服务获取其他脚本，进一步复杂化检测。

使用Telegram提供了隐蔽性和弹性，使防御者更难阻止该操作。

演变策略

自2024年11月以来，Cofense研究人员观察到Lone None组织改进了其攻击方法：

• 早期活动提供信息窃取程序和远程访问木马（RAT）的混合。最近的迭代主要关注Pure Logs和Lone None Stealer。
• 恶意软件有效负载采用多层混淆，包括Base64/Base85编码和AES加密，以绕过自动分析。
• 攻击者利用Dropbox和MediaFire等免费文件共享平台托管受感染的存档。

尽管进行了这些技术升级，但网络钓鱼电子邮件本身变化不大。一致的诱饵——引用真实在线账户的虚假法律威胁——继续有效。

除了登录凭据和信用卡，Lone None Stealer还与数十个活跃的加密货币钱包相关联，涉及比特币、以太坊、Solana、Ripple和其他数字资产。剪贴板劫持意味着任何在转账时复制粘贴钱包地址的用户都可能不知不觉地将资金直接发送给攻击者。

缓解建议

Lone None活动背后的威胁行为者使用恐惧、技术技巧和规避性恶意软件窃取数据和加密货币，但分层防御可以降低风险。

• 仔细检查电子邮件：验证下架通知，检查域名，发现翻译或紧急情况危险信号。
• 不信任链接/文件：避免不受信任的下载；使用沙盒或IT支持进行检查。
• 注意异常安装：标记不寻常的Python文件夹、重命名的可执行文件或可疑的注册表项。
• 阻止侧加载/工具滥用：使用允许列表，监视DLL活动，并限制certutil.exe等工具。
• 过滤网络威胁：监控Telegram流量，阻止短链接/文件共享，并应用IOC源。
• 保护加密货币/用户：双重检查钱包地址，使用硬件钱包，并进行网络钓鱼演练。

通过冒充法律威胁和利用Telegram等受信任平台，这个越南黑客组织创建了高度规避的网络钓鱼活动。

通过将用户警惕性与强大的技术控制相结合，组织可以减轻此活动的影响，并在不断演变的网络钓鱼威胁中保持领先。