2024-10-25 HeptaX - 未授权RDP连接。恶意LNK文件 > PowerShell > Bat文件样本

攻击摘要

攻击始于通过ZIP文件传递的恶意LNK文件（可能通过钓鱼邮件分发），主要针对医疗行业。执行后，LNK文件启动PowerShell命令从远程服务器下载多个脚本和批处理文件，以建立对受害者系统的持久控制和访问。

技术细节

• LNK文件打开后触发PowerShell命令，从hxxp://157.173.104[.]153下载额外载荷
• 脚本使攻击者能够创建具有管理员权限的新用户账户，并修改RDP设置以降低认证要求
• 在Windows启动文件夹中创建持久化快捷方式（LNK）文件以维持访问
• 主要PowerShell脚本与C2服务器通信，使用唯一标识符（UID）构建URL获取命令或额外载荷
• 如果检测到UAC较弱或已禁用，攻击将继续进行降低系统安全配置的后续阶段
• 引入次要载荷"ChromePass"，针对基于Chromium的浏览器窃取存储的凭据
• 脚本配置系统以促进远程桌面访问，支持数据外泄、监控和额外恶意软件安装
• 后续批处理文件（如k1.bat、scheduler-once.bat）执行命令隐藏痕迹、删除日志，并伪装成系统操作调度任务以维持持久性和逃避检测
• 最后阶段执行PowerShell脚本进行侦察，收集广泛的系统数据，并将其编码发送到C2服务器

文件信息

1
2
3
4
5
6
7
8

File Information
    ├── 18e75bababa1176ca1b25f727c0362e4bb31ffc19c17e2cabb6519e6ef9d2fe5 Google Chrome.lnk
    ├── 1d82927ab19db7e9f418fe6b83cf61187d19830b9a7f58072eedfd9bdf628dab bb.ps1
    ├── 4b127e7b83148bfbe56bd83e4b95b2a4fdb69e1c9fa4e0c021a3bfb7b02d8a16 ChromePass.exe
    ├── 5ff89db10969cba73d1f539b12dad42c60314e580ce43d7b57b46a1f915a6a2b 202409 Resident Care Quality Improvement Strategies for Nursing Homes Enhancing Patient Satisfaction and Health Outcomes.pdf.lnk
    ├── 6605178dbc4d84e789e435915e86a01c5735f34b7d18d626b2d8810456c4bc72.zip
    ├── 999f521ac605427945035a6d0cd0a0847f4a79413a4a7b738309795fd21d3432 k1.bat
    └── a8d577bf773f753dfb6b95a3ef307f8b4d9ae17bf86b95dcbb6b2fb638a629b9 b.ps1

恶意软件存储库链接

过去15年间，随着博客的存在，许多托管提供商因更严格的无恶意软件政策而停止支持。这导致链接失效，尤其是在较旧的帖子中。如果您在contagiodump.blogspot.com（或contagiominidump.blogspot.com）上发现损坏的链接，只需记下URL中的文件名并在Contagio恶意软件存储中搜索即可。