【安全资讯】Termite勒索软件入侵与ClickFix及CastleRAT攻击相关联

概要：

网络安全威胁持续演变，勒索软件攻击者不断采用新的技术与工具组合以规避检测并提升攻击成功率。近期，一个被追踪为Velvet Tempest（亦名DEV-0504）的威胁组织，被发现在攻击中结合了ClickFix社会工程学手法、合法Windows工具以及DonutLoader和CastleRAT恶意软件，其活动与Termite勒索软件入侵事件相关联，凸显了当前高级持续性威胁（APT）的复杂性和危害性。

主要内容：

网络安全威胁情报公司MalBeacon的研究人员在一个模拟的非营利组织环境中，对Velvet Tempest组织进行了为期12天的观察。该组织通过恶意广告活动发起攻击，诱导受害者将混淆后的命令粘贴到Windows运行对话框中，这一手法被称为ClickFix。

攻击链始于受害者执行命令后，触发嵌套的cmd.exe链，并利用合法的finger.exe工具获取首个恶意软件加载器。后续阶段，攻击者使用PowerShell下载并执行命令，获取更多有效载荷，通过csc.exe在临时目录编译.NET组件，并部署基于Python的组件以实现持久化驻留。

最终，攻击行动部署了DonutLoader恶意软件加载器，并检索了CastleRAT后门。CastleRAT是一种远程访问木马，与以分发多种RAT和信息窃取程序（如LummaStealer）而闻名的CastleLoader加载器相关联。尽管Velvet Tempest通常与双重勒索攻击（先窃取数据再加密系统）有关，但在此次观察到的入侵中并未部署Termite勒索软件。Termite勒索软件此前已声称对SaaS提供商Blue Yonder和澳大利亚IVF巨头Genea等高调目标发动过攻击。