近年来,随着网络攻击日益复杂化和多样化,勒索软件攻击成为全球网络安全领域的严峻挑战。俄罗斯勒索软件团伙通过开发和部署高效的恶意软件工具,不断扩展其攻击能力。其中,名为CountLoader的新型多版本恶意软件加载器的出现,标志着勒索软件生态系统中又一强大攻击手段的诞生。CountLoader作为一种多版本加载器,被广泛应用于初始访问阶段以及后续的攻击工具投递。它不仅支持.NET、PowerShell、JavaScript三种不同的版本,实现了极高的灵活性和隐蔽性,还得以有效绕过传统防护机制,极大提升了攻击成功率。CountLoader被俄系勒索软件集团如LockBit、Black Basta以及Qilin广泛使用,通过它投递诸如Cobalt Strike、AdaptixC2等高级渗透测试框架及远程访问木马PureHVNC RAT等工具,帮助攻击者实现对目标系统的全面控制和持续渗透。
CountLoader的攻击策略之一是针对乌克兰地区的精心设计,利用伪装成乌克兰国家警察的带有恶意代码的PDF文件进行钓鱼攻击,诱导用户下载并执行恶意程序。这种社会工程学策略结合多版本恶意软件的灵活性,使得攻击具备极强的隐蔽性和针对性。值得特别关注的是CountLoader的PowerShell版本,早在此前便被知名安全厂商卡巴斯基检测到,该版本通过DeepSeek相关的诱饵文件进行传播,充分展现了攻击者利用多种通用工具(即LOLBins)开展恶意活动的高级技巧。通过操控浏览器流量并将其强制代理至攻击者控制的服务器,攻击者能够劫持和窃取大量网络通信数据,增加了数据泄露的风险。JavaScript版本作为CountLoader中功能最为完备的实现,内置了六种不同的文件下载方法和三种不同的恶意软件执行方式,这种设计使攻击者能够灵活调用多样化手段完成负载投递和执行。此外,该版本还能基于Windows域信息识别受害者设备,显著提高了攻击的个性化和精准性。
CountLoader能够收集系统信息,创建伪装为谷歌浏览器更新任务的计划任务,实现持久化控制,并能远程接受指令来不断调整攻击行为。其下载文件的手段涵盖curl、PowerShell、MSXML2.XMLHTTP、WinHTTP.WinHttpRequest.5.1、bitsadmin和certutil.exe,这些均为Windows操作系统自带的合法工具,攻击者利用它们绕过安全检测,彰显出开发者对Windows系统架构和恶意软件编写的深刻理解。通过对受害者Music文件夹的利用,CountLoader巧妙地隐藏自身活动,这种行动隐蔽性对传统安全措施构成挑战。值得注意的是,.NET版本虽然功能相对简化,只支持更新压缩包或可执行文件,但在整体攻击工具链中依然扮演重要角色。支持CountLoader的是一个涵盖20多个独立域名的复杂基础设施网络,保证了攻击的持续性及灵活性。其所投递的恶意负载之一是PureHVNC RAT,这是一款由名为PureCoder的威胁行动者商业出售的远程访问木马。
PureHVNC RAT的前身为PureRAT(又称ResolverRAT),该木马利用一种名为ClickFix的老牌社工钓鱼策略,通过伪装成招聘广告引诱目标点击钓鱼网页,借此执行后续PowerShell恶意代码。该攻击链的Rust语言编写加载器也显示了攻击者在工具开发上的多样性和先进水准。安全厂商Check Point指出,PureCoder通过不断变换GitHub账号分发支持文件,从时间区域UTC+03:00的活动来看,很可能包括俄罗斯在内的地域关联性明显。与此同时,俄罗斯勒索软件生态系统的高度关联和复杂性也再次被DomainTools调查团队揭示。调查显示,各勒索软件团伙之间品牌忠诚度低,人员流动频繁,工具和技术共享普遍,不同团队间存在严重的交叉协作现象。运营商们更看重熟人关系和人力资本,常根据市场形势灵活重组和调整战略。
这种现象意味着安全防御者在面对勒索软件威胁时,不能仅局限于针对单一工具或团伙,而应关注背后更为广泛和动态的攻击生态系统。CountLoader的出现强化了勒索软件供应链攻击的复杂度和危害性。它多版本设计调动多种技术实现,结合多样化的社会工程学手法,以及针对特定区域的定点攻击,极大地提升了攻击的隐蔽性和威力。同时,其利用Windows系统内置命令行工具及编程接口开展下载和执行,无形中增加了防护和检测的难度。对于企业和个人用户而言,防范CountLoader及其相关恶意软件载荷,关键在于加强安全意识教育,谨慎对待来源不明的电子邮件附件和链接,特别是伪装成官方机构的钓鱼邮件应引起高度警惕。技术层面需强化终端检测响应能力,利用行为分析和异常检测及时发现加载器活动痕迹。
网络边界防护应结合流量监控和代理审查,防止攻击者借助流量重定向窃取数据。同时,定期更新系统补丁和安全软件,降低被利用漏洞的风险,并针对计划任务等持久化手段进行常态化检查。CountLoader的多版本设计和高自由度使其成为现代勒索软件攻击链中不可忽视的重要组成部分。网络安全行业应加强对该类加载器技术的研究与监测,推动跨组织协作,及时共享威胁情报,从而更有效地应对不断演化的网络威胁。未来,随着攻击者对操作系统原生工具运用的进一步优化,安全防御手段也需同步升级,采取更加智能化和自动化的防护方案,提升整体网络韧性。通过深刻理解CountLoader的攻击模式与技术细节,安全专业人员能够更有针对性地制定防御策略,保护关键基础设施和个人信息安全,确保网络空间的安全稳定运行。
。
