2025年第一季度，網絡安全戰場硝煙四起，網絡犯罪分子繼續發起新的攻擊并優化其攻擊手段。本文對五大值得關注的惡意軟件進行了概述和簡要分析。

NetSupport RAT：利用ClickFix技術傳播

2025年初，攻擊者開始利用一種被稱為ClickFix的技術來傳播 NetSupport 遠程訪問木馬（RAT）。這種技術會將虛假的驗證碼頁面注入被攻陷的網站，誘導用戶執行惡意 PowerShell 命令，從而下載并運行 NetSupport RAT。一旦安裝成功，該 RAT 會賦予攻擊者對受害者系統的完全控制權，包括實時屏幕監控、文件操作以及任意命令執行。

NetSupport RAT 的主要技術特點：

• 攻擊者可以實時查看并控制受害者屏幕。
• 上傳、下載、修改和刪除受感染系統中的文件。
• 遠程運行系統命令和 PowerShell 腳本。
• 捕獲復制的文本，包括密碼和敏感數據。
• 記錄用戶按鍵以竊取憑證。
• 啟動、停止和修改系統進程和服務。
• 通過啟動文件夾、注冊表鍵或計劃任務實現持久化。
• 使用進程注入和代碼混淆技術逃避檢測。
• 通過加密流量與攻擊者保持隱秘通信。

當 NetSupport RAT 感染系統時，它會立即與命令和控制 （C2） 服務器建立連接，從而允許攻擊者遠程作受感染的機器。通過此連接，攻擊者可以執行系統命令、部署其他惡意軟件和修改系統設置。

檢測到的 CnC 連接

NetSupport RAT 還使用多種戰術、技術和程序（TTP）來維持持久性、逃避檢測并收集系統數據。關鍵的 TTP 包括：

• 持久性與執行：修改注冊表啟動項，通過 wscript.exe 執行腳本。
• 發現：讀取計算機名稱、檢查系統語言并訪問環境變量。
• 防御規避與 C2 通信：投放合法的 Windows 可執行文件，創建遠程控制的互聯網連接對象。

NetSupport RAT 使用的主要TTP

Lynx 勒索軟件：瞄準多行業的加密攻擊

Lynx 勒索軟件即服務（RaaS）組織以其高度結構化而聞名，提供完善的附屬計劃與強大的加密方法。基于早期 INC 勒索軟件的基礎，Lynx 提升了其能力并擴大了攻擊范圍，瞄準了多、、個國家的不同行業。

Lynx 的附屬面板允許其附屬機構在用戶友好的界面中配置受害者資料、生成自定義勒索軟件樣本并管理數據泄露計劃。由于其結構化方法，即使對于技術專業知識有限的人來說，它也成為最容易獲得的勒索軟件之一。

為了激勵參與，Lynx 向附屬公司提供 80% 的贖金收益份額。該組織維護著一個泄密網站，如果受害者未能支付贖金，就會在那里發布被盜數據。

Lynx 主要攻擊事件：

2025年第一季度，Lynx 加密了一個領先的澳大利亞卡車經銷商系統，以及一家美國專門從事公司法和證券法的律師事務所，竊取了大量敏感數據，威脅受害者支付贖金。

Lynx 的主要技術特點：

• 默認加密所有文件，包括本地驅動器、網絡共享和可移動媒體。
• 通過 RaaS 配置，可針對特定文件類型、文件夾或擴展名。
• 在加密前竊取敏感數據，包括文檔、憑證和財務信息。
• 通過 HTTPS 或自定義加密通道傳輸被盜數據。
• 刪除卷影副本并禁用 Windows 恢復功能以防止還原。
• 關閉可能阻止加密的應用程序。
• 使用憑證轉儲技術提取存儲的密碼。
• 通過 Tor 網絡匿名通信并與 C2 服務器保持連接。
• 檢測虛擬機和沙箱環境，改變行為以逃避分析。
• 在內存中運行，避免將文件寫入磁盤。

可以在下述受控環境中直接觀察 Lynx Ransomware 的行為。成功被感染后，桌面背景被勒索消息替換，攻擊者留下一張便條警告所有數據都已被盜和加密，受害者被指示下載 Tor 以聯系他們。

攻擊者留下的勒索軟件消息

一些文件也被重命名，，并附加其擴展名。例如，C：\Users\admin\Desktop\academicroad.rtf 變為 C：\Users\admin\Desktop\academicroad.rtf.LYNX。

檢測到使用 .lynx 重命名的文件

整個系統中的數十個文件以這種方式被修改，進一步證實了其加密過程。這些只是 Lynx 在受感染系統內執行的眾多破壞性作中的一小部分。

AsyncRAT：利用 Python 負載和 TryCloudflare 隧道

2025 年初，網絡安全研究人員發現了一個復雜的惡意軟件活動，該活動部署了 AsyncRAT，這是一種遠程訪問木馬，以其高效的異步通信功能而聞名。

該活動因其使用基于 Python 的有效負載和利用 TryCloudflare 隧道來增強隱身性和持久性而脫穎而出。

攻擊始于一封包含 Dropbox URL 的網絡釣魚電子郵件。當收件人單擊該鏈接時，他們會下載一個 ZIP 存檔，其中包含 Internet 快捷方式 （URL） 文件。反過來，此文件通過 TryCloudflare URL 檢索 Windows 快捷方式 （LNK） 文件。執行 LNK 文件會觸發一系列腳本、PowerShell、JavaScript 和批處理腳本，這些腳本會下載并執行 Python 負載。

此負載負責部署多個惡意軟件系列，包括 AsyncRAT、Venom RAT 和 XWorm。

AsyncRAT的主要技術特點：

• 允許攻擊者在受感染的系統上執行命令、監控用戶活動和管理文件。
• 能夠竊取敏感信息，包括憑據和個人數據。
• 采用技術來維護長期訪問，例如修改系統注冊表和利用啟動文件夾。
• 使用混淆和加密來逃避安全解決方案的檢測。

AsyncRAT 連接到 masterpoldo02[.]kozow[.]COM 通過端口 7575，允許遠程攻擊者控制受感染的機器。阻止此域并監控流向此端口的流量有助于防止感染。

此外，AsyncRAT 將自身安裝在 %AppData% 中以混入合法應用程序，并使用互斥鎖 （AsyncMutex_alosh） 來防止多個實例運行。

在受控環境中分析惡意配置

該惡意軟件還使用帶有硬編碼密鑰和 salt 的 AES 加密，使安全工具難以分析其通信。

AsyncRAT 使用的 AES 加密

Lumma Stealer：基于 GitHub 的分發

2025 年初，網絡安全專家發現了一個復雜的活動，涉及信息竊取惡意軟件 Lumma Stealer。

攻擊者使用 GitHub 的發布基礎設施來分發此惡意軟件，利用該平臺的可信度繞過安全措施。執行后，Lumma Stealer 會啟動其他惡意活動，包括下載和運行其他威脅，如 SectopRAT、Vidar、Cobeacon 和其他 Lumma Stealer 變體。

Lumma Stealer的主要技術特點：

• 通過 GitHub 版本分發，利用可信基礎設施來逃避安全檢測。
• 竊取瀏覽器憑據、cookie、加密貨幣錢包和系統信息。
• 將被盜數據發送到遠程服務器，實現實時泄露。
• 可以下載和執行其他惡意軟件，包括 SectopRAT、Vidar 和 Cobeacon。
• 使用注冊表修改和啟動項來維護訪問權限。
• 可通過基于網絡的安全監控工具進行檢測，揭示惡意通信模式。

執行時，惡意軟件會連接到其命令和控制服務器，從而讓敏感數據泄露。分析還揭示了特定 Suricata 規則的觸發。

由 Lumma Stealer 觸發的 Suricata 規則

分析會議還揭示了 Lumma 如何從 Web 瀏覽器竊取憑據并泄露個人數據。

Lumma Stealer 盜竊憑據和個人數據

InvisibleFerret：潛伏在虛假工作機會中的無聲威脅

在一波社會工程攻擊中，網絡犯罪分子一直在利用 InvisibleFerret（一種基于 Python 的隱蔽惡意軟件）來破壞毫無戒心的受害者。

這種惡意軟件在虛假求職面試過程中偽裝成合法軟件，已被積極用于虛假面試活動，攻擊者冒充招聘人員誘騙專業人士下載惡意工具。

InvisibleFerret的主要技術特點：

• 該惡意軟件使用雜亂無章且混淆不清的 Python 腳本，使分析和檢測具有挑戰性。
• InvisibleFerret 主動搜索和泄露敏感信息，包括源代碼、加密貨幣錢包和個人文件。
• 通常由另一種名為 BeaverTail 的惡意軟件作為輔助有效載荷提供，BeaverTail是一種基于 JavaScript 的混淆信息竊取程序和加載程序。
• 該惡意軟件在受感染的系統上建立持久性，確保持續訪問和控制。

InvisibleFerret 攻擊的一個關鍵要素是部署 BeaverTail，這是一個惡意 NPM 模塊，可提供可移植的 Python 環境 （p.zip） 來執行惡意軟件。

分析InvisibleFerret的泄露信息

作為多層攻擊鏈的第一階段，BeaverTail 設置了 InvisibleFerret，這是一個具有高級混淆和持久性機制的隱蔽后門，使檢測變得困難。