在野外发现了一种锈迹斑斑的Buer恶意软件变种

网络安全研究人员周一披露了一项新的恶意垃圾邮件活动，发布了一种新的恶意软件加载程序变体，名为“Buer”，用锈迹书写，说明对手如何不断磨练他们的恶意软件工具集以逃避分析。

这种被称为“RustyBuer”的恶意软件通过伪装成DHL支持部门发货通知的电子邮件传播，据说自4月初以来，已经影响了50多个垂直领域的200多个组织。

Proofpoint研究人员在与《黑客新闻》分享的一份报告中说：“新的Buer变体是用Rust编写的，这是一种高效易用的编程语言，正变得越来越流行。”。“在Rust中重写恶意软件可以让威胁参与者更好地规避现有的Buer检测能力。”

Buer于2019年8月首次推出，是一款模块化的恶意软件即服务产品，在地下论坛上出售，用作第一阶段下载程序，以提供额外的有效载荷，为目标的Windows系统提供初始危害，并允许攻击者建立“数字滩头阵地”以进行进一步的恶意活动。2019年12月的一项证据分析表明，Buer是一个完全用C编写的恶意软件，使用的是一个用.NET Core编写的控制面板。

2020年9月，Ryuk勒索软件背后的运营商被发现使用Buer恶意软件滴管作为针对匿名受害者的垃圾邮件活动的初始访问载体。然后在2021年2月发现的一个网络钓鱼攻击使用了发票主题诱饵，诱使用户打开包含恶意宏的微软Excel文档，下载并执行受感染系统上的BUER滴管。

Buer装载机初始POST请求

新的maldoc活动遵循类似的操作方式，使用DHL主题的钓鱼电子邮件分发武器化的Word或Excel文档，交付Buer loader的锈迹变种。与C编程语言的“不同寻常”背离意味着Buer现在能够绕过基于C语言编写的恶意软件特征的检测。

研究人员说：“重写的恶意软件，以及使用新的诱饵试图显得更合法，表明利用RustyBuer的威胁行为者正在以多种方式发展技术，以逃避检测并试图提高成功点击率。”。

鉴于Buer是其他类型恶意软件（包括Cobalt Strike和勒索软件）的第一阶段加载程序，Proofpoint研究人员估计，网络攻击者可能会利用加载程序在目标网络中站稳脚跟，并将访问权出售给“服务访问”计划中的其他参与者。

研究人员得出结论：“当与威胁参与者利用RustyBuer进一步合法化其诱饵的尝试相结合时，攻击链可能更有效地获得访问和持久性。”。

RustyBuer是一系列旨在增加额外一层不透明性的努力中的最新一个，因为网络犯罪分子越来越关注新的编程语言，希望这样做能使攻击代码绕过安全防御。今年早些时候，一个名为“NimzaLoader”的恶意软件被认定是用Nim编程语言编写的，随后是一个基于锈迹的macOS广告软件“Convuster”。