GOLD BLADE远程DLL侧加载攻击部署RedLoader
攻击在2025年7月激增,威胁组织更新了其过程,结合恶意LNK文件和回收的WebDAV技术
Sophos分析师正在调查GOLD BLADE网络犯罪集团自定义RedLoader恶意软件的新感染链,该恶意软件启动命令和控制(C2)通信。威胁行为者利用LNK文件远程执行并侧加载良性可执行文件,该文件加载托管在GOLD BLADE基础设施上的RedLoader阶段1有效负载。威胁行为者之前单独使用这些技术:在2024年9月观察到使用WebDAV执行远程托管的DLL,在2025年3月观察到重命名的ADNotificationManager.exe文件的侧加载。然而,2025年7月观察到的组合代表了一种尚未公开报告的初始执行方法。
执行链
图1说明了执行链。攻击始于威胁行为者通过第三方求职网站(如“indeed.com”)向目标发送精心制作的求职信PDF。
图1:观察到的RedLoader执行链
PDF中的恶意链接将ZIP存档下载到受害者的系统。存档包含一个伪装成PDF的LNK文件。
LNK文件执行conhost.exe。
该可执行文件利用WebDAV联系CloudFlare域(automatinghrservices[.]workers[.]dev)。重命名的签名版Adobe ADNotificationManager.exe可执行文件伪装成简历,并远程托管在攻击者控制的服务器上(dav[.]automatinghrservices[.]workers[.]dev @ SSL\DavWWWRoot\CV-APP-2012-68907872.exe)。该文件与RedLoader阶段1 DLL文件(netutils.dll)位于同一目录。
执行时,重命名的良性可执行文件远程侧加载恶意DLL(netutils.dll),标志着RedLoader感染链的开始。
RedLoader阶段1在受害者的系统上创建名为“BrowserQE\BrowserQE_<Base64编码的计算机名>”的计划任务,并从“live[.]airemoteplant[.]workers[.]dev”下载阶段2的独立可执行文件。使用独立可执行文件与2024年9月观察到的活动不同,类似于Trend Micro在2024年3月报告的感染链。
计划任务使用PCALua.exe和conhost.exe执行RedLoader阶段2,一个名为“BrowserQE_<Base64编码的计算机名>.exe”的自定义可执行文件。虽然此可执行文件名特定于受害者,但SHA256哈希在所有Sophos分析师观察到的样本中一致。
RedLoader阶段2与其C2服务器通信。
缓解措施
7月的活动显示威胁行为者如何结合先前的技术修改其攻击链并绕过防御。GOLD BLADE继续严重依赖模仿其他文件类型的LNK文件。组织可以通过部署软件限制策略组策略对象来缓解此威胁,该对象阻止从恶意软件利用的常见目录执行LNK文件。这些目录包括“C:\Users*\Downloads*.lnk”、“%AppDataLocal%*.lnk”和“%AppDataRoaming%*.lnk”。
表1中列出的Sophos防护措施将应对此活动。
| 名称 | 描述 |
|---|---|
| Evade_28k | 阻止特定版本的adnotificationmanager.exe,无论DLL名称如何,防止DLL侧加载 |
| WIN-DET-EVADE-HEADLESS-CONHOST-EXECUTION-1 | 识别conhost.exe的可疑子进程,其中进程路径不是“\Windows\splwow64.exe”、“\Windows\System32\WerFault.exe”或“\Windows\System32\conhost.exe” |
| Troj/Agent-BLKU | 对RedLoader阶段2的静态检测 |
表1:覆盖此威胁的Sophos对策
为了减少对此恶意软件的暴露,组织可以使用可用控件审查和限制访问,使用表2中列出的指标。域可能包含恶意内容,因此在浏览器中打开它们之前请考虑风险。包含本文中提到的IoCs的CSV文件可从我们的Github存储库获取。
| 指标 | 类型 | 上下文 |
|---|---|---|
| automatinghrservices[.]workers[.]dev | 域名 | GOLD BLADE C2服务器 |
| quiet[.]msftlivecloudsrv[.]workers[.]dev | 域名 | GOLD BLADE C2服务器 |
| live[.]airemoteplant[.]workers[.]dev | 域名 | GOLD BLADE C2服务器 |
| netutils.dll | 文件名 | GOLD BLADE通过远程DLL侧加载部署的RedLoader阶段1 |
| d302836c7df9ce8ac68a06b53263e2c685971781a48ce56b3b5a579c5bba10cc | SHA256哈希 | GOLD BLADE通过远程DLL侧加载部署的RedLoader阶段1 |
| f5203c7ac07087fd5029d83141982f0a5e78f169cdc4ab9fc097cc0e2981d926 | SHA256哈希 | GOLD BLADE部署的RedLoader阶段2 |
| 369acb06aac9492df4d174dbd31ebfb1e6e0c5f3 | SHA1哈希 | GOLD BLADE部署的RedLoader阶段2 |
表2:此威胁的指标
关于作者
Mark Parsons是Sophos托管检测和响应的威胁猎人。他专注于威胁狩猎、数字取证和事件响应。先前的显著成就包括识别多月的国家入侵;在2020年选举周期之前、期间和之后与多个州的网络安全项目合作,以提高其检测和响应能力;在Microsoft Azure/CAP日志中发现罕见(第二报告者)错误;以及在目标被第二行为者入侵之前识别多个初始访问经纪人。