摘要：Zscaler ThreatLabz 研究人员发现了该组织今年 8 月至 10 月期间的攻击活动，这些活动利用了一个名为RevC2 的后门以及一个名为 Venom Loader 的加载器，并使用了 Venom Spider（又名 Golden Chickens

一个被称为“Venom Spider”的已知威胁组织继续扩展其攻击能力，在最近两个月的两次独立攻击中检测到一种新型后门和加载程序。

Zscaler ThreatLabz 研究人员发现了该组织今年 8 月至 10 月期间的攻击活动，这些活动利用了一个名为RevC2 的后门以及一个名为 Venom Loader 的加载器，并使用了 Venom Spider（又名 Golden Chickens）的已知 MaaS 工具。

RevC2 使用 WebSockets 与其命令和控制 (C2) 服务器进行通信，并可窃取 cookie 和密码、代理网络流量并启用远程代码执行 (RCE)。同时，Venom Loader 使用受害者的计算机名称对有效载荷进行编码，从而为每个受害者定制它们，作为一种额外的个性化策略。

Venom Spider 是一个高级威胁组织，以提供各种 MaaS 工具而闻名，例如 VenomLNK、TerraLoader 、TerraStealer 和 TerraCryptor，这些工具被 FIN6 和 Cobalt 等组织广泛用于网络攻击。

FIN6 在 10 月份的鱼叉式网络钓鱼活动中利用了 Venom Spider 的 MaaS 平台，传播了一种名为“more_eggs”的新型后门，能够执行二级恶意软件负载。

该平台显然再次得到增强，这次在最近的网络钓鱼活动中发现了两个新的恶意软件家族。研究人员在 8 月至 9 月的一次活动中观察到 RevC2 使用 API 文档诱饵来传递新的有效载荷。

攻击始于一个 VenomLNK 文件，其中包含一个模糊批处理 (BAT) 脚本，执行后会从网站 hxxp://gdrive[.]rest:8080/api/API.png 下载 PNG 图像。该 PNG 图像旨在使用名为“APFX Media API 文档”的文档来引诱受害者。

在执行时，RevC2 使用两次检查来检查特定的系统标准，并且只有两次检查都通过时才执行，以确保它作为攻击链的一部分启动，而不是在沙箱等分析环境中启动。

一旦启动，后门的功能包括：使用名为“websocketpp”的 C++ 库与 C2 通信；从 Chromium 浏览器窃取密码和 cookie；截取受害者系统的屏幕截图；使用 SOCK5 协议代理网络数据；使用窃取的凭证以其他用户身份执行命令。

第二次攻击活动发生在 9 月至 10 月之间，使用加密货币诱饵来传播 Venom Loader，进而传播提供 RCE 功能的 JavaScript 后门，研究人员将其称为“More_eggs lite”。

据 ThreatLabz 称，Venom Loader 的一个显著特点是，它在观察到的活动中使用的 DLL 文件是为每个受害者定制的，并用于加载下一阶段。

加载程序从 :hxxp://170.75.168[.]151/%computername%/aaa 下载，“其中 %computername% 值是一个环境变量，其中包含系统的计算机名称。”Irfan VA 写道。

然后，Venom Loader 使用 %computername% 作为硬编码的 XOR 密钥来编码其攻击阶段，在这种情况下，它会执行 More_eggs lite 后门，以便攻击者执行 RCE。

ThreatLabz 认为， Venom Spider 的 MaaS 平台中包含的新恶意软件“是早期版本，预计未来将添加更多功能和反分析技术”。

Zscaler 使用沙箱和云安全平台检测该恶意软件，检测到与该活动相关的以下威胁名称指标：LNK.Downloader.VenomLNK；Win32.Backdoor.RevC2；和 Win32.Downloader.VenomLoader。

技术报告：

新闻链接：

来源：会杀毒的单反狗