研究人员揭示了Colibri恶意软件如何在被黑客攻击的系统上保持持久性

网络安全研究人员详细介绍了一种“简单但有效”的持久性机制，该机制由一种相对较新的恶意软件加载程序采用，名为蜂鸟据观察，作为一项新活动的一部分，该公司部署了一个名为Vidar的Windows信息窃取程序。

Malwarebytes实验室在一项分析中说：“攻击始于一个恶意Word文档，该文档部署了一个Colibri机器人，然后交付Vidar窃取程序”。“文档通过（securetunnel[.]co）加载名为“trkal0”的远程模板。研究人员补充道：“接触恶意宏的点”。

首先由FR3D记录。今年早些时候，香港和印度网络安全公司CloudSEK联合推出了一款恶意软件即服务（MaaS）平台，旨在向受损系统投放额外的有效载荷。装载机的早期迹象出现在2021年8月俄罗斯地下论坛上。

CloudSEK研究员玛拉·阿布德（Marah Aboud）上个月指出：“这个加载程序有多种技术可以帮助避免被检测到”。“这包括省略IAT（导入地址表）和加密字符串，使分析更加困难。”

Malwarebytes观察到的战役攻击链利用一种称为远程模板注入的技术，通过一个武器化的Microsoft Word文档下载Colibri加载程序（“setup.exe”）。

然后，加载程序使用以前未记录的持久性方法在机器重新启动后继续运行，但在将自己的副本放到位置“%APPDATA%\Local\Microsoft\WindowsApps”并将其命名为“Get Variable.exe”之前，加载程序不会这样做。

它通过在运行Windows 10及更高版本的系统上创建一个计划任务来实现这一点，加载程序执行一个命令，用一个隐藏窗口（即-WindowStyle hidden）启动PowerShell，以隐藏恶意活动，使其不被检测到。

研究人员解释说：“Get Variable是一个有效的PowerShell cmdlet（cmdlet是Windows PowerShell环境中使用的轻量级命令），用于在当前控制台中检索变量的值”。

但是，由于PowerShell默认在Windows应用程序路径中执行，因此在计划任务创建期间发出的命令会导致在其合法对应的位置执行恶意二进制文件。

研究人员说，这实际上意味着“对手可以通过将预定任务和任何有效载荷（只要它被称为Get-Variable.exe并放置在正确的位置）结合起来，轻松实现持久性”。

上个月，网络安全公司Trustwave详细介绍了一项基于电子邮件的网络钓鱼活动，该活动利用微软编译的HTML帮助（CHM）文件来分发Vidar恶意软件，以达到隐蔽目的。