Cavalry Werewolf APT组织利用FoalShell和StallionRAT攻击多行业

2025年5月至8月期间,Cavalry Werewolf APT组织使用FoalShell反向Shell和StallionRAT远程访问木马针对俄罗斯公共部门及能源、采矿、制造业发动定向攻击,采用多语言定制恶意软件和Telegram命令控制技术。

Cavalry Werewolf APT组织利用FoalShell和StallionRAT攻击多行业

攻击活动概述

2025年5月至8月期间,一个被称为Cavalry Werewolf(亦被追踪为YoroTrooper和Silent Lynx)的高级持续性威胁组织执行了一次复杂攻击活动,目标针对俄罗斯公共部门及能源、采矿和制造等关键行业。

这次协同攻击利用了可信关系进行高度定向的鱼叉式网络钓鱼,并部署了定制的多语言恶意软件库,使Cavalry Werewolf成为今年最具适应性和危险的APT组织之一。

初始入侵手段

Cavalry Werewolf的初始入侵主要依赖于鱼叉式网络钓鱼邮件,这些邮件伪装成来自吉尔吉斯斯坦政府机构的官方通信。攻击者精心伪造了地址——有时甚至劫持了真实的官方账户——来自诸如经济与商业部或交通与通信部等部委。通过模糊冒充和直接入侵之间的界限,该组织最大限度地提高了可信度。

典型的钓鱼诱饵包括伪装成合法文档的RAR档案,如"联合行动三个月结果"或"获得奖金员工短名单"。在档案内,受害者会发现FoalShell(一个反向Shell后门)或StallionRAT(一个远程访问木马)。这些恶意软件家族是Cavalry Werewolf获得长期控制权的核心战术。

资源被读取,内存通过VirtualAlloc分配具有RWE(读、写、执行)权限,然后执行Shellcode。对防御者的关键检测提示:监视在%LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook目录内创建具有文档样名称的档案,这是通过Microsoft Outlook下载文件的知名存储库。

FoalShell和StallionRAT分析

FoalShell:设计多功能性

FoalShell是一个紧凑的反向Shell,有C#、C++和Go编写的变种。其核心目标是通过隐藏的cmd.exe进程为攻击者提供受感染主机上的可靠命令行访问。

  • C#版本:实现了一个持久循环,连接到命令与控制(C2)服务器188.127.225.191:443,重定向命令和输出流,同时在隐藏窗口中运行命令提示符。
  • C++变种:使用在资源内混淆的Shellcode加载器。代码加载并执行Shellcode,连接到C2服务器109.172.85.63,并启动隐藏命令提示符供攻击者交互。
  • Go实现:连接到C2服务器62.113.114.209:443,再次无形运行cmd.exe,利用Go的网络栈实现灵活性。

威胁狩猎指南:监视由临时目录中的进程或具有异常父进程的进程生成的可疑cmd.exe实例,以及快速连续执行多个系统发现例程的进程。

StallionRAT:Telegram控制的间谍活动

StallionRAT是一个功能丰富的远程访问木马,用Go、PowerShell和Python实现,具有独特特点:它利用Telegram机器人进行命令和控制,绕过许多传统网络防御。

  • PowerShell变种:使用C++投放器部署,执行Base64编码命令以从安全软件中混淆恶意意图。
  • 操作:StallionRAT解析Telegram消息以列出受感染主机,按设备执行任意命令,并传输文件——通常将有效负载隐藏在C:\Users\Public\Libraries中。
  • 持久性:通过注册表Run键实现,而入侵后操作包括部署诸如ReverseSocks5Agent(SOCKS5代理)等工具以隧道外部流量,观察到的C2连接在96.9.125.168:443和78.128.112.209:10443。侦察技术包括诸如ipconfig、netstat、whoami和net user /dom等命令。

防御者应关联PowerShell中-EncodedCommand参数的使用,监视C:\Users\Public\Libraries中新丢弃的二进制文件,并注意可疑的注册表持久性。

目标扩展迹象

指标显示可能将目标扩展到俄语实体之外。塔吉克语文件和阿拉伯语桌面工件表明对塔吉克斯坦和中东部分地区进行主动侦察或测试攻击。此外,AsyncRAT的痕迹指向持续的工具集多样化。

防御与建议

Cavalry Werewolf的活动体现了现代APT组织不断扩展的技术和操作复杂性。他们熟练使用多语言定制恶意软件、基于Telegram的C2和滥用信任的鱼叉式网络钓鱼,给防御者带来了严峻挑战。

  • 对意外或非官方通信实施严格验证。
  • 培训人员深入检查电子邮件头,而不仅仅是显示名称。
  • 部署高级EDR/XDR监控,用于编码的PowerShell、异常的cmd.exe层次结构和注册表Run键操作。
  • 标记已知的代理工具并监视横向移动指标,特别是涉及C2地址和系统侦察工具的情况。

FoalShell C2服务器

  • 188.127.225.191:443
  • 109.172.85.63
  • 62.113.114.209:443

StallionRAT/代理服务器

  • 96.9.125.168:443
  • 78.128.112.209:10443

关键路径

  • %LocalAppData%\Microsoft\Windows\INetCache\Content.Outlook
  • C:\Users\Public\Libraries

注册表

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

随着Cavalry Werewolf适应并扩展其攻击,保持对此类多向量威胁的警惕至关重要。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次