近期,安全研究人员揭露了一条精心设计的攻击链。该链条利用搜索引擎优化(SEO) 投毒技术,专门瞄向那些在网络上搜索合法软件工具的用户。攻击者通过盗用GitHub平台搭建恶意仓库,分发伪装成官方程序安装包的ZIP压缩文件,一旦用户下载并解压,便会执行内嵌的恶意批处理(.bat)文件,从而陷入攻击者的圈套。
那么,这个恶意.bat文件会做什么呢?它通常会启动多阶段的攻击流程:首先,利用系统自带的cURL工具,将受感染主机的核心信息(如IP地址、主机名等)悄悄发送到攻击者的命令与控制(C2) 服务器。紧接着,它会部署经过混淆或加密的PowerShell脚本,对受害系统进行更全面的侦察。更值得注意的是,在某些攻击记录中,攻击者的C2服务器上曾被发现部署了TeamViewer这类合法的远程管理工具,这表明攻击者意图利用这些工具维持对受害系统的持久、未授权访问。
攻击活动时间线与现状
这条攻击链最早于2025年11月被观测到,其恶意ZIP压缩包开始在网络传播。截至2026年1月,相关的SEO投毒设施及其关联的GitHub仓库依然处于活跃可访问状态,对普通用户构成了持续的潜在威胁。不过,攻击者的战术似乎已经进行了调整:目前这些活跃仓库中托管的ZIP压缩包,其内部已经不再包含恶意的.bat文件,而是被替换成了对应工具的正版安装程序或文件。
尽管当前该攻击链已暂停部署新的恶意负载,但其底层的基础设施——包括用于引流的大量网站和GitHub仓库——依然完好存在。这意味着安全团队需要保持警惕,持续监控,以防范攻击者随时可能重启攻击或演变出新的攻击变种。
关联的GitHub仓库分析
(一)当前活跃仓库(仅含合法文件)
以下列举的仓库符合该攻击链的运营特征(如命名规律、发布模式),但目前仅托管合法文件,其中的ZIP压缩包不含恶意脚本。其中部分仓库是通过必应(Bing)搜索对应合法应用时发现的,这印证了其SEO投毒的特性。
hxxps[:]//github[.]com/avdhost/Azure-Virtual-Desktop/releases/tag/1.0.118
hxxps[:]//github[.]com/msrdesktop/Microsoft-Remote-Desktop/releases/tag/v1.2.6
hxxps[:]//github[.]com/konvyr/GlobalProtect/releases/tag/6.1.9
hxxps[:]//github[.]com/ntfsid/RDCMan/releases/tag/v3.1(必应搜索发现)
hxxps[:]//github[.]com/taskp/PsExec/releases/tag/v2.43(必应搜索发现)
(二)曾托管恶意软件的仓库
以下仓库曾明确搭载过该攻击链的恶意软件,目前已被攻击者修改内容或彻底下线。
- hxxps[:]//github[.]com/regpx/Intune-Company-Portal/releases:无恶意软件,仅含合法文件
- hxxps[:]//github[.]com/querymesh/ScreenConnect-Client/releases:已下线
- hxxps[:]//github[.]com/regfile/RDCMan/releases/:已下线
恶意软件样本信息
(一)恶意ZIP压缩包
以下为关联该攻击链的部分恶意ZIP压缩包样本,附有SHA256哈希值、最后修改日期及文件名,可供安全人员用于威胁情报比对和安全/渗透/逆向分析。
SHA256:5e784d9dcdf69fd3bc0d59f94e1fbdc05f83fc5d7ba44e6be51ec3e4d3d0ac38 | 2025-11-18 | RDCMan_Windows_Setup.zip
SHA256:32999b06c7bb172bbbba46018caad8cdfe6ccd3c84eee08232ff7944680caa37 | 2025-11-14 | PsExec.zip
SHA256:27f3bd706e1a348f17b2b652f889bf576e5ccd31d3742a9b560f01b7f7d0f022 | 2025-11-14 | Azure-Virtual-Desktop-Client.zip
SHA256:7d955361c3d264097ee0622b42d40671a8c63098f59986e4c89f4aaec236f638 | 2025-11-12 | GlobalProtect-win-6.3.zip
SHA256:717f41263c630b22264936f8737db51169d9947231390a9c1fbf931642ac36af | 2025-11-08 | Company-Portal-x64.zip
SHA256:cdd0250c6894180d6c3462d2e01fd82ade61a0e2660baac886c5d96460fc4507 | 2025-11-04 | MSRemoteDesktopSetup_x64.zip
(二)恶意.bat文件
以下为该攻击链曾使用过的部分恶意.bat文件及其对应SHA256哈希值。这些批处理脚本是攻击的“点火器”,值得重点关注。
SHA256:18f708032d184fafd9bbbe21863e07081b2a3cab5c130c953281bb67d4e48ff0 | StorageExplorer_Windows_Setup.bat
SHA256:23d260b2709be0a4d8acff4eafabc8f90b66553e2a4c72aa368260cefb8a7772 | Azure_Virtual_Desktop_Windows_Setup.bat
SHA256:3a978ffb4931a9441c963c011e4b2b434e860b8d492740acf376b683dcbf314a | MSRemoteDesktop_Windows_Setup.bat
SHA256:3e86e50cd29c266813f1167448be817acfee1c7416062d5836f094bedf1d56eb | GlobalProtect_Windows_Setup.bat
SHA256:555a54ab1a29d069bd0138731849d0ae55cdd67a8733de6fb9f5de0a3feefbfc | PBIDesktop_Windows_Setup.bat
SHA256:5bd813331102e380851b9549cb85e00a6a1ffc0bfa3d7a6aa292a339693bf668 | MSRemoteDesktop_Windows_Setup.bat
SHA256:9513fd19cff090402ccf0f776ed140a9dfa4a296a75480d2130e9420ac2165a0 | PsExec_Windows_Setup.bat
SHA256:d003f07424b89f05b508e589ea077a074933029d8162e4f3cf97567a1e99b497 | VMware_Horizon_Client_Windows_Setup.bat
SHA256:ee403407691a1630baad10b91acde2d5040b7173dd967cc456d60382ee9723a3 | RDCMan_Windows_Setup.bat
SHA256:fe4301d5a21c1fc81ad56c4b7806c54c9a7d82221b6566562df2b4bfbad27462 | Company_Portal_Windows_Setup.bat
攻击者使用的C2域名
该攻击链通过以下域名与受感染主机通信,用于泄露数据和下发进一步的攻击指令。这些域名可作为重要的威胁指标(IOC)用于运维 & 测试环境中的防火墙或终端防护规则配置。
2tnl[.]digital、ankaraotogaleri[.]com、antipolitical[.]com
base22[.]digital、bestebettingsider[.]com、brandingsolutions[.]com
globalcharts[.]com、rasprod[.]com、systemsheuristics[.]com
总结与防护建议
此次披露的攻击链清晰地展示了攻击者的灵活性:他们可以在保留核心基础设施的同时,轻易地将仓库内容从恶意替换为合法,充分利用了GitHub平台的公信力和搜索引擎的高可见性来实施攻击。这给所有习惯通过网络搜索下载软件工具的企业和个人用户敲响了警钟。
为了有效防范此类威胁,建议采取以下措施:
- 验证来源:下载软件时,务必前往官方网站或信誉极高的分发渠道,对任何第三方仓库(即使是托管在知名平台如GitHub上)保持警惕,验证发布者身份。
- 安全下载:坚决拒绝从未经验证或可疑来源下载任何可执行文件或安装包。
- 部署防护:在企业终端部署能有效拦截恶意脚本执行和数据外泄行为的高级威胁防护方案。
- 持续监控:安全团队应将文中提及的IOC(域名、哈希值)纳入监控范围,并持续关注相关攻击基础设施的动态。
网络安全威胁不断演变,保持警惕和学习最新的攻防知识至关重要。关于更多技术分析与安全讨论,欢迎访问云栈社区的技术安全板块进行交流。
发表于 14 小时前
|
查看: 4|
回复: 0
