摘要：网络安全研究人员近日发现一种新型恶意软件攻击活动，攻击者利用基于PowerShell的shellcode加载器来部署名为Remcos RAT（远程访问木马）的恶意程序。

网络安全研究人员近日发现一种新型恶意软件攻击活动，攻击者利用基于PowerShell的shellcode加载器来部署名为Remcos RAT（远程访问木马）的恶意程序。

Part01

攻击链分析

Qualys安全研究员Akshay Thorve在技术报告中指出："威胁分子通过ZIP压缩包分发嵌有恶意LNK（快捷方式）文件，这些文件通常伪装成Office文档。攻击链在初始阶段利用mshta.exe实现代理执行。"

根据Qualys披露的细节，最新攻击浪潮采用税务相关诱饵诱导用户打开包含Windows快捷方式文件的恶意ZIP压缩包。该LNK文件会调用微软合法工具mshta.exe（用于运行HTML应用程序HTA）来执行远程服务器上名为"xlab22.hta"的混淆HTA文件。

该HTA文件包含VBScript代码，用于下载PowerShell脚本、诱饵PDF文件以及另一个名为"311.hta"的HTA文件。攻击者还通过修改Windows注册表确保"311.hta"在系统启动时自动运行。

无文件攻击技术

当PowerShell脚本执行后，会解码并重构一个shellcode加载器，最终在内存中完全加载Remcos RAT有效载荷。这种知名恶意程序采用Visual Studio C++ 8编译的32位二进制文件，具有模块化结构，可获取系统元数据、记录键盘输入、截取屏幕截图、监控剪贴板数据，并收集所有已安装程序和运行进程列表。

此外，木马会与域名"readysteaurants[.]com"的C2（命令控制）服务器建立TLS连接，维持持久的数据外泄和控制通道。这并非首次发现无文件版Remcos RAT，2024年11月Fortinet FortiGuard Labs就曾披露过利用订单主题诱饵进行无文件部署的钓鱼活动。

SlashNext现场技术官J Stephen Kowski表示："这种基于PowerShell的新型Remcos变种攻击表明，威胁分子正在不断进化以规避传统安全措施。这种无文件恶意软件直接在内存中运行，使用LNK文件和MSHTA.exe执行可绕过常规防御的混淆PowerShell脚本。"

相关威胁态势

近期安全行业还发现以下新型威胁：

AI驱动的攻击演变

随着人工智能技术的应用，威胁分子开始利用实时变形的多态技巧规避检测，包括动态修改邮件主题、发件人名称和正文内容。Cofense指出："AI使威胁分子能够自动化恶意软件开发、规模化跨行业攻击，并以手术刀般的精准度个性化钓鱼信息。这些不断演变的威胁越来越能绕过传统邮件过滤器，凸显仅依赖边界防御的失败和投递后检测的必要性。"

参考来源：

Fileless Remcos RAT Delivered via LNK Files and MSHTA in PowerShell-Based Attacks

来源：FreeBuf