【安全资讯】DarkGate恶意软件通过新策略和电子邮件模板进行传播

概要：

近期，Cisco Talos团队发现了一系列新的恶意邮件活动，这些邮件包含一个可疑的Microsoft Excel附件，一旦打开，便会感染受害者的系统，植入DarkGate恶意软件。这些活动自3月第二周起活跃，采用了此前未见的战术、技术和程序（TTPs），通过远程模板注入技术绕过电子邮件安全控制，诱使用户下载并执行恶意代码。

主要内容：

这些恶意邮件活动主要通过附带的Excel文档进行传播，这些文档利用远程模板注入技术，自动下载并执行托管在远程服务器上的恶意内容。远程模板注入是一种攻击技术，利用Excel的合法功能，从外部来源导入模板，扩展文档的功能和特性。通过利用用户对文档文件的信任，这种方法巧妙地规避了对文档模板不如可执行文件严格的安全协议。

DarkGate恶意软件家族以其隐蔽的传播技术、信息窃取能力、规避策略以及对个人和组织的广泛影响而著称。最近，DarkGate通过Microsoft Teams和恶意广告活动分发恶意软件。在最新的活动中，攻击者使用了AutoHotKey脚本代替AutoIT脚本，表明DarkGate攻击者在不断演变其感染链以逃避检测。

根据Cisco Talos的遥测数据，这些活动主要针对美国，医疗技术和电信是最主要的目标行业，但也观察到针对广泛行业的活动。这些恶意邮件主要涉及财务或官方事务，迫使收件人通过打开附件采取行动。初步调查将这些活动的妥协指标（IOCs）与DarkGate恶意软件联系起来。

在技术分析中，恶意Excel文档包含一个嵌入对象，链接到攻击者控制的服务器消息块（SMB）文件共享。当Excel文件打开时，它会从攻击者控制的服务器下载并执行一个VBS文件。该VBS文件附带一个命令，从DarkGate命令和控制（C2）服务器执行一个PowerShell脚本。该PowerShell脚本检索下一阶段的组件并执行它们。

DarkGate恶意软件通过使用合法的AutoHotKey二进制文件（AutoHotKey.exe）执行恶意的AHK脚本（script.ahk），在内存中直接执行恶意软件有效载荷，而无需将其写入磁盘。感染过程的最终阶段组件存储在特定目录位置，并通过在启动目录中创建快捷方式文件来建立跨重启的持久性。

Cisco Talos的威胁情报和检测响应团队已经成功开发了这些活动的检测方法，并在Cisco Secure产品中适当阻止了它们。然而，DarkGate活动的不断演变提醒我们，网络安全领域的军备竞赛仍在继续。