近年来网络钓鱼攻击不断演进,攻击者不断采用更隐蔽的载体与复杂的多阶段执行链以规避安全检测。近期安全厂商的研究披露了两起针对乌克兰与越南的有针对性活动,攻击者利用看似无害但实则带有可执行HTML代码的SVG文件以及层层包装的压缩档和CHM帮助文件,将CountLoader、Amatera Stealer、PureMiner和PureRAT等恶意软件投放到受害者主机上。了解这些攻击的技术细节、动机与可检测痕迹,对于构建有效防御具有重要意义。 以下内容将对攻击链进行逐步还原,解析相关恶意软件家族特性,总结检测与响应建议,并提出预防与治理的最佳实践,便于企业和安全团队采取切实可行的防御措施。 攻击链还原与关键技术手段 公开报告显示攻击链从精心撰写的钓鱼邮件开始,邮件伪装成乌克兰政府机关或版权侵权通知等可信主题,从而诱导收件人打开附件。附件采用了SVG格式,但并非简单的矢量图像。
SVG文件被当作HTML替代品嵌入可执行脚本或重定向代码,一旦在脆弱的邮件客户端或浏览器中渲染,便会触发对外部下载站点的访问,从而获取后续阶段的载荷。 后续阶段通常是一个密码保护的ZIP档案,档案内含有一个Compilted HTML Help(CHM)文件。CHM文件仍然常被滥用,因为许多Windows环境默认允许CHM执行内部HTML/脚本内容,从而可以触发下载器或直接执行系统命令。CHM被打开后会导致CountLoader之类的加载器被启动。CountLoader的作用是作为分发平台,进一步下载并部署最终有效载荷;在已观察到的活动中,最终有效载荷包括信息窃取器Amatera Stealer、基于.NET的隐身加密货币挖矿器PureMiner,或远控后门PureRAT等。 技术细节上,研究人员指出Amatera Stealer与PureMiner采用"无文件"技术运行,使用.NET提前编译(AOT)结合进程空洞(process hollowing)或通过PythonMemoryModule将PE直接加载到内存,以避免落盘特征。
进程空洞与内存加载使传统基于文件的查杀工具难以发现恶意模块。PureRAT(又称ResolverRAT)是PureCoder作者开发的后门家族之一,其生态包含PureCrypter、PureLogs、BlueLoader、PureClipper等工具,形成一套从加密保护、日志窃取、远程控制到钱包劫持的完整恶意工具链。 针对越南的活动则展现出不同的社会工程主题,但方法学上同样遵循多层次、逐级升级的模式。安全公司Huntress报告显示攻击者先通过"版权侵权通知"类钓鱼邮件引诱受害者解压含有PXA Stealer的ZIP档。PXA Stealer负责初步窃取凭证并为后续部署PureRAT铺路,最终形成功能全面的远程控制能力。研究者指出该越南相关活动可能由讲越南语的威胁组织操办,展现出从业余级Python混淆逐步演进到滥用商品化恶意软件的成熟化趋势。
为何SVG与CHM如此受欢迎 SVG文件原生支持在XML/HTML上下文中嵌入脚本或外部资源,这使得其既能被用于合法的可视化需求,也能被滥用于触发浏览器或邮件客户端的外部加载行为。许多邮件安全产品在解析附件时对SVG的检测支持不足,且部分终端会在预览时渲染SVG内的脚本,从而意外触发远程下载。 CHM文件长期以来被Windows帮助系统使用,默认的hh.exe执行路径为攻击者提供了可执行的渲染器,而系统对CHM的阻断并不严格。将恶意逻辑隐藏在CHM内部的HTML/JS中可以直接调用系统命令或启动其他载荷,且此类行为在审计日志中往往被误判为用户启动帮助文件,从而降低了检测优先级。 无文件执行技术也是攻击者偏好的手法。通过.NET AOT、process hollowing或内存加载模块,恶意代码可在内存中直接运行而不在磁盘上留下显著样本,从而规避哈希、YARA和传统签名检测。
结合分布式下载器与加密通信,攻击者可以在侵入后快速扩展能力并保持长时驻留。 攻击动机与可能的影响 观察到的攻击工具揭示了多重动机。信息窃取器(如Amatera Stealer)目标在于收集浏览器保存的凭证、加密货币钱包信息、通信工具(如Telegram、Steam、FileZilla等)的凭证与本地敏感文件,从而直接导致凭证泄露、资金被盗或后续进一步入侵。加密货币挖矿器(如PureMiner)则通过滥用被感染主机的计算资源以谋取加密货币收益,导致主机性能下降与电力成本上升。PureRAT等远控后门提供了完整的长期控制能力,攻击者可远程执行命令、横向移动、部署勒索软件或构建僵尸网络。综合来看,受害组织可能面临财产损失、声誉风险、业务中断与合规问题。
检测要点与行为指标 由于攻击链包含多个阶段,检测应覆盖邮件网关、端点、网络流量与行为层面。首先,邮件安全应对SVG附件进行严格解析与沙箱检测,避免简单依赖文件扩展名。对压缩档中包含的CHM文件应提高警惕,尤其是带有密码保护的ZIP,因攻击者常利用密码保护绕过网关扫描。 在终端层面,应重点监测CHM启动可执行程序(如hh.exe)的异常行为,注意hh.exe发起的网络连接、创建子进程、读取或写入下载目录等操作。对Windows系统中出现的进程空洞技术与内存加载行为应加强可见性,利用行为检测引擎识别常见的无文件注入手法,例如创建远端线程、修改内存保护权限、或者通过反复的模块替换进行代码执行。 网络检测方面,应对出站连接到可疑下载站点、命令与控制域名、以及已知恶意IP进行封锁与告警。
监控主机的CPU使用率与GPU使用情况可帮助及时发现隐蔽挖矿行为,因挖矿常会导致资源异常占用。对于远控、横向移动与数据外传的流量模式应启用异常流量检测与基于流量指纹的识别。 日志审查与IOC收集同样关键。安全团队应收集恶意域名、C2服务器地址、文件哈希、进程树信息与注册表修改痕迹,并将这些IOC用于SIEM、EDR与网络防火墙的规则锁定。针对PureRAT与相关家族的IOC应及时与威胁情报平台共享,以提高跨组织的防护能力。 防护建议与治理措施 为了有效降低此类攻击风险,企业应采取多层次的防护策略,从邮件网关到终端控制再到网络监控形成防御纵深。
邮件网关应对SVG、CHM、和密码保护ZIP等高风险附件实施严格策略,必要时直接阻止或要求人工审查。启用附件沙箱分析,解析附件内的HTML脚本并模拟渲染环境,以识别潜在重定向或恶意下载行为。 在终端上,应通过应用白名单(如AppLocker或WDAC)限制可执行文件来源,禁止来自临时下载目录或用户下载文件夹的可执行程序直接启动。禁用或限制chm文件的执行权限,或通过组策略限制hh.exe的运行范围。部署EDR与行为分析工具以检测内存注入、进程空洞与异常网络行为,并配置自动响应规则以在确认感染时隔离主机。 强化凭证与身份保护可以降低后续被用于横向移动的风险。
实行多因素认证、定期轮换高权限凭证和使用特权访问管理(PAM)工具可以显著提高账户安全。网络分段和最小权限原则可以将攻击影响范围局限在较小的安全域内,从而减少攻击者的横向扩散能力。 除了技术防护,员工安全意识培训也是关键防线。对政府文书、版权通知、异常压缩档或要求解压并输入密码的邮件保持高度警惕,任何可疑附件在未确认发件人身份前不应打开。模拟钓鱼演练与即时反馈机制能够帮助降低用户误操作率。 事件响应与取证要点 一旦怀疑感染,应立即隔离可疑主机以阻断与C2的连接并防止横向移动。
保留内存转储能协助检测运行时载荷与内存内的无文件模块,结合EDR收集到的进程树、网络连接与持久化痕迹用于还原攻击路径。查询常见持久化位置如计划任务、Run/RunOnce注册表项、服务与WMI持久化记录,以及检查被修改或新增的系统驱动与DLL注入证据。 对发现的凭证泄露应立即进行重置并对敏感系统实施强制凭证轮换。评估是否存在数据泄露并通知相关监管机构与受影响客户,遵守地域性法律法规的通报要求。为避免二次感染,应在受影响环境中实施补救措施,如删除恶意任务、清理持久化机制、恢复被篡改的系统和修补已知漏洞。 结语:适应新型社会工程与内存威胁的防御策略 SVG与CHM等传统上被低估的文件类型被攻击者重新利用,结合无文件执行与分阶段载荷分发,构成了对组织安全的严峻挑战。
面对这类威胁,单一的签名检测已经无法满足防护需求,必须依赖行为检测、沙箱解析、网络流量分析与严格的邮件控制策略相结合的纵深防御体系。及时共享威胁情报,强化终端与网络可见性,提升员工对新型钓鱼手法的识别能力,才能在攻击链的早期阶段阻断威胁,降低潜在损失。 安全团队应将重点放在阻止初始入侵、快速检测无文件运行痕迹、以及限制被感染主机的网络能力上。通过综合技术投入与流程建设,企业可以显著提升对类似CountLoader、Amatera Stealer、PureMiner与PureRAT等恶意工具的抵御能力,保护关键资产免受持续演进的钓鱼与远控威胁侵害。 。
