研究人员揭露传播CountLoader和PureRAT的钓鱼威胁

网络安全研究人员发现了一场新的大规模攻击活动，攻击者冒充乌克兰政府机构进行钓鱼攻击，旨在传播CountLoader恶意软件，该软件随后被用于投放Amatera窃密程序和PureMiner挖矿程序。

Fortinet FortiGuard Labs研究员Yurren Wan在分享给The Hacker News的报告中表示：“钓鱼邮件包含恶意的可缩放矢量图形（SVG）文件，旨在诱骗收件人打开有害附件。”

在这家网络安全公司记录的攻击链中，SVG文件被用于启动受密码保护的ZIP压缩包下载，该压缩包包含一个已编译的HTML帮助（CHM）文件。当启动CHM文件时，会激活一系列事件，最终导致CountLoader的部署。这些电子邮件声称来自乌克兰国家警察。

Silent Push最近分析过的CountLoader已被发现可投放各种有效载荷，如Cobalt Strike、AdaptixC2和PureHVNC RAT。然而在此攻击链中，它充当了Amatera Stealer（ACRStealer的变种）和PureMiner（一种隐蔽的.NET加密货币挖矿程序）的分发载体。

值得指出的是，PureHVNC RAT和PureMiner都是一个更广泛的恶意软件套件的一部分，该套件由被称为PureCoder的威胁行为者开发。同一作者的其他产品包括：

• PureCrypter：用于Native和.NET的加密器
• PureRAT（又名ResolverRAT）：PureHVNC RAT的继任者
• PureLogs：信息窃取器和记录器
• BlueLoader：可通过远程下载和执行有效载荷充当僵尸网络的恶意软件
• PureClipper：剪贴板劫持恶意软件，将复制的加密货币地址替换为攻击者控制的钱包地址，以重定向交易并窃取资金

根据Fortinet的说法，Amatera Stealer和PureMiner都是作为无文件威胁部署的，恶意软件"通过.NET预先（AOT）编译与进程空心化执行，或使用PythonMemoryModule直接加载到内存中"。

Amatera Stealer一旦启动，就会收集系统信息，收集与预定义扩展名列表匹配的文件，并从基于Chromium和Gecko的浏览器以及Steam、Telegram、FileZilla和各种加密货币钱包等应用程序中获取数据。

Fortinet表示：“这次钓鱼活动展示了恶意SVG文件如何充当HTML替代品来启动感染链。“在这种情况下，攻击者通过包含SVG附件的电子邮件针对乌克兰政府实体。SVG嵌入的HTML代码将受害者重定向到下载站点。”

与此同时，Huntress发现了一个可能讲越南语的威胁组织，使用带有版权侵权通知主题的钓鱼电子邮件来诱骗收件人启动ZIP压缩包，导致部署PXA Stealer，然后演变为多层级感染序列，最终投放PureRAT。

安全研究员James Northey表示：“这次活动展示了清晰而故意的进展，从简单的钓鱼诱饵开始，通过多层内存加载器、防御规避和凭据窃取逐步升级。最终的有效载荷PureRAT代表了这一努力的顶峰：一个模块化、专业开发的后门，让攻击者完全控制受感染的主机。”

“他们从对Python有效载荷进行业余混淆到滥用像PureRAT这样的商品恶意软件，不仅显示了持久性，还显示了一个严肃且不断成熟的运营者的特征。”