Quasar RAT 利用 DLL 侧载技术进行恶意活动

关键要点

• Quasar RAT（又称 CinaRAT 或 Yggdrasil）利用新的 DLL 侧载技术来隐蔽恶意数据泄露活动。
• 攻击从一个包含被重命名为 "eBill-997358806.exe" 的合法 "ctfmon.exe" 二进制文件的 ISO 镜像开始。
• 该文件执行后会侧载包含混淆恶意代码的 "MsCtfMonitor.dll" 文件。
• 研究表明，Quasar RAT 不仅可以收集系统数据，还能执行任意的 shell 命令。
• 用户被建议对钓鱼邮件保持警惕。

根据的报道，新型 DLL 侧载技术被 Quasar RAT 后门程序利用，这种方式使得其在攻击 Windows设备时的恶意数据外泄活动更加隐蔽。攻击的初始步骤是通过部署一个包含合法 "ctfmon.exe" 但被重命名为 "eBill-997358806.exe" 的 ISO 镜像开始，当该文件执行时，便会侧载一个名为 "MsCtfMonitor.dll" 的恶意文件，这个文件中含有混淆的恶意代码。

有关的研究报告来自 Uptycs，指出隐藏代码的注入过程会在 Windows Assembly Registration Tool 中完成，接着执行 "Calc.exe" 进程以侧载恶意的 "Secure32.dll" 文件，从而触发 Quasar RAT 的有效载荷部署。Quasar RAT的功能不仅包括系统数据收集，还可以进行任意的 shell命令执行。目前尚未识别出具体的威胁操作与该活动相关，同时关于此攻击的初始访问向量仍存在不确定性，因此用户被提醒需对钓鱼邮件保持高度警惕。

相关链接