俄罗斯勒索软件团队利用 CountLoader 扩大攻击范围

HackerNews 编译，转载请注明出处：

网络安全研究人员发现了一款代号为“CountLoader”的新型恶意软件加载器，该加载器已被俄罗斯勒索软件团伙用于投放后续渗透工具（如 Cobalt Strike、AdaptixC2）以及一款名为“PureHVNC RAT”的远程访问木马。

网络安全公司Silent Push在分析报告中表示：“CountLoader要么被用作初始访问代理（IAB）工具集的一部分，要么由与 LockBit、Black Basta、Qilin 等勒索软件团伙存在关联的勒索软件附属攻击者使用。”

这款新兴威胁存在三个不同版本（基于.NET、PowerShell 和 JavaScript 开发），研究人员发现其在一场攻击活动中，通过伪造乌克兰国家警察局身份，以含恶意程序的 PDF 文件作为钓鱼诱饵，针对乌克兰个人用户发起攻击。

值得注意的是，卡巴斯基此前曾指出，该恶意软件的 PowerShell 版本曾通过与 DeepSeek 相关的诱饵文件传播，诱骗用户安装。这家俄罗斯网络安全厂商表示，相关攻击最终会在目标设备上部署一款名为“BrowserVenom”的植入程序，该程序可重新配置所有浏览器进程，强制网络流量通过攻击者控制的代理服务器，从而实现对网络流量的操控与数据收集。

Silent Push 的调查显示，JavaScript 版本是功能最完善的加载器版本，具备六种不同的文件下载方式、三种不同的恶意软件可执行文件运行方法，以及一项基于 Windows 域信息识别受害者设备的预设功能。

该恶意软件还能收集系统信息，通过创建伪装成谷歌 Chrome 浏览器更新任务的计划任务，在主机上建立持久化控制，并连接远程服务器等待后续指令。

具体功能包括：通过“rundll32.exe”和“msiexec.exe”工具下载并运行 DLL 文件与 MSI 安装程序载荷；传输系统元数据；删除已创建的计划任务。其六种文件下载方式分别借助curl、PowerShell、MSXML2.XMLHTTP、WinHTTP.WinHttpRequest.5.1、bitsadmin 及 certutil.exe 等工具或组件实现。

Silent Push 指出：“CountLoader的开发者通过使用‘certutil’‘bitsadmin’等白利用程序（LOLBins），并实现实时命令加密的 PowerShell 生成器，展现出对 Windows 操作系统及恶意软件开发的深入理解。”

CountLoader 的一个显著特点是将受害者的“音乐（Music）文件夹”用作恶意软件的暂存区。其中，.NET 版本与 JavaScript 版本存在一定功能重叠，但仅支持两种命令类型（UpdateType.Zip 或 UpdateType.Exe），属于功能精简的版本。

CountLoader 依托由 20 多个独立域名构成的基础设施运行，其核心作用是作为传输通道，向目标设备投放 Cobalt Strike、AdaptixC2 与 PureHVNC RAT，后者是威胁攻击者 “PureCoder”开发的商业性质恶意程序，且为“PureRAT”（又称“ResolverRAT”）的早期版本。

据网络安全公司Check Point 透露，近期传播 PureHVNC RAT 的攻击活动，均采用经实战验证的“ClickFix”社会工程学战术作为传播载体：攻击者通过虚假招聘信息引诱受害者访问 ClickFix 钓鱼页面，再通过一款基于 Rust 语言开发的加载器部署该木马。

该公司表示：“攻击者借助虚假招聘广告引诱受害者，通过ClickFix 钓鱼技术在受害者设备上执行恶意 PowerShell 代码。”同时指出，PureCoder 会不断更换 GitHub 账号，用于托管支持 PureRAT 功能的相关文件。对这些 GitHub 账号提交记录的分析显示，相关操作均在 UTC+03:00 时区进行，该时区涵盖俄罗斯等多个国家和地区。

与此同时，网络安全公司 DomainTools 的调查团队揭示了俄罗斯勒索软件生态的关联性：不同勒索软件团伙的攻击者存在人员流动，且普遍使用 AnyDesk、Quick Assist 等工具，表明各团伙在运营层面存在重叠。

DomainTools 表示：“这些攻击者对‘团伙品牌’的忠诚度较低，核心资产并非特定的恶意软件毒株，而是人力资源。攻击者会根据市场环境调整策略，在遭遇打击后进行重组，且信任关系至关重要 —— 这些人会选择与认识的人合作，无论所属团伙名称如何。”

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文