【安全资讯】网络犯罪分子瞄准美台防务工业会议，使用隐蔽的无文件恶意软件

概要：

在一项令人担忧的发展中，Cyble研究与情报实验室（CRIL）发现了一起针对即将举行的美台防务工业会议相关人员的复杂网络攻击。这次隐蔽的攻击活动使用了一种无文件恶意软件，通过社会工程和高级内存执行技术来逃避检测。

主要内容：

此次攻击始于通过电子邮件向潜在受害者发送的恶意压缩文件，可能是更大规模网络钓鱼活动的一部分。压缩文件名为“registration_form.pdf.zip”，其中包含一个伪装成PDF文档的LNK文件，诱使用户误以为是在与无害的注册表单互动。一旦打开，这个LNK文件会触发一系列隐蔽操作，在系统磁盘上不留典型痕迹的情况下部署攻击。

LNK文件提取了两个关键组件：一个看似合法的PDF文件以进一步欺骗用户，以及一个Base64编码的可执行文件，二者均在后台运行。这个可执行文件通过.NET的Confuser工具保护，以逃避检测，并被放置在系统启动文件夹中以确保持久性。执行后，它会检索额外的恶意内容，包括一个用XOR加密的DLL文件，以掩盖其真实目的。

这次攻击的独特之处在于其无文件性质。恶意软件使用.NET的“Assembly.Load”函数将解密后的DLL直接加载到内存中，而不是将恶意代码写入磁盘，从而绕过许多扫描存储在磁盘上的文件的安全机制，使得攻击更难被检测到。最终目标似乎是窃取敏感信息。恶意软件在部署DLL后，从攻击者的服务器下载加密的C#代码，在内存中编译并执行，而不在硬盘上留下痕迹。

根据诱饵文件的内容和攻击背景，CRIL认为攻击者专门针对与2024年9月22日至24日举行的美台防务工业会议有关的人员。此次活动预计将汇集关键防务官员、政府代表、行业高管及其他参与美台防务合作的利益相关者。攻击的时间和复杂性表明，攻击者可能试图利用这一事件进行间谍活动，窃取敏感的防务相关信息或破坏美台军事合作的讨论。