RevengeHotels新攻击活动:利用LLM和VenomRAT瞄准拉丁美洲酒店业

安全研究人员发现RevengeHotels组织针对拉丁美洲酒店业的新攻击活动,该活动利用AI生成的恶意代码和VenomRAT远程控制工具,通过钓鱼邮件传播,专门窃取客户信用卡数据,影响巴西及西班牙语国家酒店。

背景

RevengeHotels(又称TA558)是一个自2015年起活跃的威胁组织,专门窃取酒店客人和旅客的信用卡数据。该组织的作案手法涉及发送带有钓鱼链接的电子邮件,将受害者重定向到模仿文档存储的网站,这些网站随后会下载脚本文件以感染目标机器。最终的有效载荷包括各种远程访问木马(RAT)植入程序,使威胁行为者能够控制受感染系统、窃取敏感数据并维持持久性等恶意活动。

在之前的活动中,该组织被观察到使用带有Word、Excel或PDF文档附件的恶意电子邮件。其中一些利用了CVE-2017-0199漏洞,加载VBS或PowerShell脚本来安装不同RAT家族的定制版本,如RevengeRAT、NanoCoreRAT、NjRAT、888 RAT以及名为ProCC的自定义恶意软件。这些活动影响了拉丁美洲多个国家的酒店,包括巴西、阿根廷、智利和墨西哥,但也影响了全球的酒店前台,特别是在俄罗斯、白俄罗斯、土耳其等地。

后来,该威胁组织通过添加XWorm扩展了其武器库,XWorm是一种具有控制、数据窃取和持久性等命令的RAT。在调查分发XWorm的活动时,我们发现了高置信度指标,表明RevengeHotels在其操作中也使用了名为DesckVBRAT的RAT工具。

2025年夏季,我们观察到针对同一行业的新活动,其植入程序和工具日益复杂。威胁行为者继续使用带有发票主题的网络钓鱼电子邮件,通过JavaScript加载程序和PowerShell下载程序传递VenomRAT植入程序。该活动中大部分初始感染程序和下载程序代码似乎是由大型语言模型(LLM)代理生成的。这表明威胁行为者现在正在利用AI来发展其能力,这也是其他网络犯罪团体中报告的趋势。

这些活动的主要目标是巴西酒店,尽管我们也观察到针对西班牙语市场的攻击。通过对攻击模式和威胁行为者作案手法的全面分析,我们高度确信责任方确实是RevengeHotels。这些攻击中采用的战术、技术和程序(TTP)的一致性与RevengeHotels的已知行为一致。用于有效载荷交付的基础设施依赖于合法的托管服务,通常使用葡萄牙语主题的域名。

初始感染

RevengeHotels使用的主要攻击向量是带有发票主题的网络钓鱼电子邮件,这些电子邮件敦促收件人结清逾期付款。这些电子邮件专门针对与酒店预订相关的电子邮件地址。虽然葡萄牙语是这些网络钓鱼电子邮件中常用的语言,但我们也发现了西班牙语网络钓鱼电子邮件的实例,表明威胁行为者的范围超出了巴西的酒店业,可能包括西班牙语国家或地区的目标。

在最近的这些攻击实例中,主题已从酒店预订转变为虚假的工作申请,攻击者发送简历以试图利用目标酒店的潜在工作机会。

恶意植入程序

每次电子邮件都会变化的恶意网站在被访问时会下载一个WScript JS文件,从而触发感染过程。JS文件的文件名随每个请求而变化。在当前案例中,我们分析了Fat146571.js(fbadfff7b61d820e3632a2f464079e8c),它遵循格式Fat{NUMBER}.js,其中"Fat"是葡萄牙语单词"fatura"(意为"发票")的开头。

该脚本似乎是由大型语言模型(LLM)生成的,这从其大量注释的代码和类似于此类型技术产生的格式可以看出。该脚本的主要功能是加载促进感染的后续脚本。

RevengeHotels创建的新一代初始感染程序的大部分包含似乎由AI生成的代码。这些LLM生成的代码段可以通过几个特征与原始恶意代码区分开来,包括:

  • 代码的整洁性和组织性
  • 占位符,允许威胁行为者插入自己的变量或内容
  • 伴随代码中几乎每个操作的详细注释
  • 显著缺乏混淆,这使这些LLM生成的部分与代码的其余部分区分开来

第二加载步骤

执行时,加载程序脚本Fat{NUMBER}.js会解码一个经过混淆和编码的缓冲区,该缓冲区作为加载剩余恶意植入程序的下一步。该缓冲区随后被保存到一个名为SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1(d5f241dee73cffe51897c15f36b713cc)的PowerShell(PS1)文件中,其中"{TIMESTAMP}“是基于当前执行日期和时间生成的数字。这确保了文件名随每次感染而变化并且不是持久性的。脚本保存后,它会被执行三次,然后加载程序脚本退出。

脚本SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1运行带有Base64编码代码的PowerShell命令。此代码从远程恶意服务器检索cargajecerrr.txt(b1a5dc66f40a38d807ec8350ae89d1e4)文件,并将其作为PowerShell调用。

这个经过轻度混淆的下载程序负责从恶意服务器获取剩余文件并加载它们。两个下载的文件都是Base64编码的,并具有描述性名称:venumentrada.txt(607f64b56bb3b94ee0009471f1fe9a3c),可以解释为"VenomRAT入口点”,以及runpe.txt(dbf5afa377e3e761622e5f21af1f09e6),以用于内存中执行的恶意工具命名。第一个文件venumentrada.txt是一个经过深度混淆的加载程序(解码文件的MD5:91454a68ca3a6ce7cb30c9264a88c0dc),确保第二个文件VenomRAT植入程序(3ac65326f598ee9930031c17ce158d3d)在内存中正确执行。

恶意代码还表现出与AI界面生成一致的特征,包括连贯的代码结构、详细的注释和明确的变量命名。此外,它与之前的样本有显著不同,之前的样本在结构上不同,混淆程度更高,并且缺乏注释。

探索VenomRAT

VenomRAT是开源QuasarRAT的演变,于2020年中首次被发现,并在暗网上提供,终身许可证费用高达650美元。尽管VenomRAT的源代码已被泄露,但它仍在被威胁行为者出售和使用。

根据供应商网站,VenomRAT提供了一系列在QuasarRAT基础上构建和扩展的功能,包括HVNC隐藏桌面、文件抓取器和窃取器、反向代理和UAC利用等。

与其他RAT一样,VenomRAT客户端是使用自定义配置生成的。植入程序内的配置数据(类似于QuasarRAT)使用AES和PKCS #5 v2.0加密,使用两个密钥:一个用于解密数据,另一个使用HMAC-SHA256验证其真实性。在整个恶意软件代码中,不同组的密钥和初始化向量被零星使用,但它们始终实现相同的AES算法。

反终止

值得注意的是,VenomRAT具有反终止保护机制,威胁行为者可以在执行时启用该机制。最初,RAT调用一个名为EnableProtection的函数,该函数检索恶意进程的安全描述符,并修改自由访问控制列表(DACL)以移除任何可能阻碍RAT正常运行或缩短其在系统上寿命的权限。

此反终止措施的第二个组件涉及一个运行连续循环的线程,每50毫秒检查一次正在运行的进程列表。该循环专门针对安全分析师和系统管理员通常用于监控主机活动或分析.NET二进制文件等任务的进程。如果RAT检测到任何这些进程,它将在不提示用户的情况下终止它们。

反终止措施还涉及持久性,这是通过VenomRAT生成并执行的VBS文件中写入的两个机制实现的。这些机制确保恶意软件在系统上的持续存在:

  • Windows注册表:脚本在HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce下创建一个新键,指向可执行路径。这允许恶意软件在用户会话之间持久存在。
  • 进程:脚本运行一个循环,检查进程列表中是否存在恶意软件进程。如果未找到,脚本会再次执行恶意软件。

如果执行恶意软件的用户具有管理员权限,则恶意软件会采取额外步骤确保其持久性。它设置SeDebugPrivilege令牌,使其能够使用RtlSetProcessIsCritical函数将自身标记为关键系统进程。这使进程成为系统"essential",即使尝试终止,它也能持续存在。然而,当管理员注销或计算机即将关闭时,VenomRAT会移除其关键标记以允许系统继续这些操作。

作为维持持久性的最终措施,RAT使用一组标志调用SetThreadExecutionState函数,强制显示器保持开启状态,系统保持工作状态。这可以防止系统进入睡眠模式。

除了反终止方法之外,恶意软件还包括针对Windows Defender的保护机制。在这种情况下,RAT主动在进程列表中搜索MSASCui.exe并终止它。然后,恶意软件修改任务计划程序和注册表以全局禁用Windows Defender及其各种功能。

网络连接

VenomRAT为其与C2服务器的网络连接使用自定义的数据包构建和序列化机制。每个数据包都针对RAT采取的特定操作量身定制,每个操作都有一个专用的数据包处理程序。传输到C2服务器的数据包经过多步骤过程:

  • 数据包首先被序列化以准备传输。
  • 然后使用LZMA压缩序列化的数据包以减小其大小。
  • 使用AES-128加密压缩的数据包,使用前面提到的相同密钥和认证密钥。

从C2服务器接收数据包时,VenomRAT反转此过程以解密和提取内容。

此外,VenomRAT通过在被感染的计算机上安装ngrok来实现隧道连接。C2服务器指定隧道的令牌、协议和端口,这些在序列化数据包中发送。这允许远程控制服务(如RDP和VNC)通过隧道运行并暴露给互联网。

USB传播

VenomRAT还具有通过USB驱动器传播的能力。为此,它扫描从C到M的驱动器盘符,并检查每个驱动器是否可移动。如果检测到可移动驱动器,RAT会将其自身复制到所有可用驱动器,名称为My Pictures.exe。

额外隐蔽步骤

除了将其自身复制到另一个目录并更改其可执行名称外,VenomRAT还采用了几种区别于QuasarRAT的隐蔽技术。两个值得注意的例子包括:

  • 删除Zone.Identifier流:VenomRAT删除Mark of the Web流,这些流包含有关下载可执行文件的URL的元数据。通过删除此信息,RAT可以逃避Windows Defender等安全工具的检测,避免被隔离,同时消除其数字足迹。
  • 清除Windows事件日志:恶意软件清除受感染系统上的所有Windows事件日志,有效地为其操作创建一个"干净的状态"。此操作确保在RAT执行期间生成的任何事件都被擦除,使安全分析师更难检测和跟踪其活动。

受害者分析

RevengeHotels攻击的主要目标仍然是酒店和前台,重点是位于巴西的机构。然而,威胁行为者一直在调整他们的策略,现在使用葡萄牙语以外的语言发送网络钓鱼电子邮件。具体来说,我们观察到西班牙语电子邮件被用于针对西班牙语国家的酒店和旅游公司,表明威胁行为者的范围可能正在扩大。请注意,该威胁的早期受害者包括阿根廷、玻利维亚、智利、哥斯达黎加、墨西哥和西班牙等西班牙语国家。

需要指出的是,之前报告的活动提到威胁行为者针对全球的酒店前台,特别是在俄罗斯、白俄罗斯和土耳其,尽管在最近的RevengeHotels活动中尚未检测到此类活动。

结论

RevengeHotels显著增强了其能力,开发了新的策略来针对酒店和旅游行业。在LLM代理的帮助下,该组织能够生成和修改他们的网络钓鱼诱饵,将攻击扩展到新的地区。用于这些攻击的网站不断轮换,初始有效载荷不断变化,但最终目标保持不变:部署远程访问木马(RAT)。在这种情况下,相关的RAT是VenomRAT,这是开源QuasarRAT的私有开发变体。

卡巴斯基产品将这些威胁检测为HEUR:Trojan-Downloader.Script.Agent.gen、HEUR:Trojan.Win32.Generic、HEUR:Trojan.MSIL.Agent.gen、Trojan-Downloader.PowerShell.Agent.ady、Trojan.PowerShell.Agent.aqx。

危害指标(IOC)

  • fbadfff7b61d820e3632a2f464079e8c Fat146571.js
  • d5f241dee73cffe51897c15f36b713cc SGDoHBZQWpLKXCAoTHXdBGlnQJLZCGBOVGLH_{TIMESTAMP}.ps1
  • 1077ea936033ee9e9bf444dafb55867c cargajecerrr.txt
  • b1a5dc66f40a38d807ec8350ae89d1e4 cargajecerrr.txt
  • dbf5afa377e3e761622e5f21af1f09e6 runpe.txt
  • 607f64b56bb3b94ee0009471f1fe9a3c venumentrada.txt
  • 3ac65326f598ee9930031c17ce158d3d 去混淆的 runpe.txt
  • 91454a68ca3a6ce7cb30c9264a88c0dc 去混淆的 venumentrada.txt
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次