摘要:RevengeHotels 是一个以经济利益为目的的威胁组织,自 2015 年以来一直活跃,通过将大型语言模型生成的代码集成到其感染链中,扩大了针对酒店组织的攻击活动。
RevengeHotels 是一个以经济利益为目的的威胁组织,自 2015 年以来一直活跃,通过将大型语言模型生成的代码集成到其感染链中,扩大了针对酒店组织的攻击活动。
该组织最初以通过针对酒店前台系统的网络钓鱼电子邮件部署定制的 RAT 系列(例如 RevengeRAT 和 NanoCoreRAT)而闻名,其最新活动重点是通过动态生成的 JavaScript 加载器和 PowerShell 下载器提供 VenomRAT 植入物。
这些复杂的初始感染程序模仿专业开发标准,嵌入详细的注释和变量占位符,以提示自动代码生成。
近几个月来,运营商专门瞄准了巴西的酒店网络,尽管西班牙语诱惑已将范围扩大到拉丁美洲的西班牙语市场。
伪装成逾期发票通知或虚假求职申请的电子邮件会诱使收件人访问恶意域名,这些域名托管以旋转“Fat{NUMBER}.js”格式(葡萄牙语为“发票”)命名的脚本,以启动下载过程。
执行时,加载程序会解码混淆的缓冲区并写入带有时间戳文件名的 PowerShell 文件,确保每个样本保持唯一并逃避基于签名的检测。
Securelist 分析师指出,这些轮换的文件名和生成的代码的一致性标志着该组织与之前的手动混淆工作有所不同。
一旦 PowerShell 存根执行,它就会从远程服务器检索两个 Base64 编码的有效负载 - venumentrada.txt 和 runpe.txt。
第一个文件充当轻量级加载器,而第二个文件直接在内存中执行 VenomRAT 有效载荷。
Securelist 的研究人员发现,加载程序采用了简单的反混淆程序来解码和调用植入程序,而无需将最终的可执行文件写入磁盘。
恶意植入物中 AI 生成的代码与自定义代码的比较(来源 - Securelist)
VenomRAT 植入物本身建立在开源 QuasarRAT 代码库之上,并通过隐藏桌面(HVNC)、文件窃取模块和 UAC 绕过原语对其进行了增强。
配置数据使用 AES-CBC 加密并通过 HMAC-SHA256 进行身份验证,使用不同的密钥进行解密和完整性验证。
网络例程将特定于操作的数据包序列化,使用 LZMA 压缩,并在传输到命令和控制服务器之前使用 AES-128 加密。
值得注意的是,VenomRAT 集成了基于 ngrok 的隧道来公开 RDP 和VNC 服务,即使通过 NAT 或防火墙限制也能增强远程访问能力。
感染链的成功取决于初始 JavaScript 加载器协调多阶段有效负载传递的能力,同时将 AI 生成的清晰度与手动混淆相结合。
技术报告:
来源:会杀毒的单反狗