https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

新聞

泰國官員遭受 Yokai 後門程式攻擊,駭客採用 DLL 側載技術入侵

2024 / 12 / 18
編輯部
泰國官員遭受 Yokai 後門程式攻擊,駭客採用 DLL 側載技術入侵
根據最新情報,泰國政府官員遭受一波新型網路攻擊,駭客運用 DLL 側載技術植入全新的後門程式,該程式被研究人員命名為 Yokai。

資安研究團隊指出,根據誘餌文件的特徵分析,此次攻擊明確以泰國官員為目標。儘管如此,Yokai 後門程式的設計具有通用性,可用於攻擊任何潛在目標。攻擊手法始於一個 RAR 壓縮檔,內含兩個以泰文命名的 Windows 捷徑檔,分別偽裝成「美國司法部.pdf」和「美國政府要求國際刑事司法互助.docx」。

雖然目前尚未確認駭客的確切傳播管道,但研究員認為這極可能是透過魚叉式網路釣魚攻擊。主要原因是駭客使用了特定目標的誘餌,且 RAR 檔案正是釣魚郵件常見的惡意附件形式。

當使用者點擊這些捷徑檔案時,系統會開啟誘餌用的 PDF 和 Word 文件,同時在背景偷偷植入惡意程式。該惡意程式會釋放三個檔案:合法的 iTop Data Recovery 應用程式執行檔("IdrInit.exe")惡意 DLL 檔案("ProductStatistics3.dll"),以及包含駭客控制伺服器資訊的設定檔。攻擊者隨後利用 DLL 側載技術,透過 "IdrInit.exe" 部署後門程式。

Yokai 後門程式會在受害主機建立永久性據點,並與指揮控制(C2)伺服器連線,接收並執行 cmd.exe 的 Shell 指令。

研究員也發現一個使用 Node.js 編譯執行檔的惡意程式 NodeLoader,該攻擊活動針對 Windows 系統散布挖礦程式與資料竊取工具,包括 XMRig、Lumma 及 Phemedrone Stealer。

攻擊者將惡意連結隱藏在 YouTube 影片說明中,誘導使用者前往 MediaFire 或假冒網站,並下載偽裝成遊戲外掛的 ZIP 壓縮檔。攻擊者的目標是執行 NodeLoader,再透過它下載 PowerShell 腳本來啟動最終的惡意程式。

此外,近期出現一波大規模釣魚攻擊,用於散布商業版遠端存取木馬 Remcos RAT。攻擊者更新了感染鏈,利用 Visual Basic Script(VBS)腳本和 Office Open XML 文件來執行多階段攻擊。其中一種攻擊手法是執行 VBS 檔案,此檔案會觸發經過高度混淆的 PowerShell 腳本,下載中繼檔案,最後將 Remcos RAT 注入至合法的微軟 .NET 執行檔 RegAsm.exe。

另一變種攻擊則使用 Office Open XML 文件來載入含有 CVE-2017-11882 漏洞的 RTF 檔案(此漏洞存在於 Microsoft Equation Editor 的遠端程式碼執行功能)。攻擊者利用此漏洞下載 VBS 檔案,再透過 PowerShell 將 Remcos 惡意程式注入至 RegAsm.exe 的記憶體中。

延伸閱讀:攻擊者利用已有6年歷史的微軟 Office 漏洞散播間諜軟體

值得注意的是,這兩種攻擊手法都避免將檔案寫入磁碟,而是將惡意程式載入合法程序中執行,藉此規避資安防護軟體的偵測。

McAfee Labs 研究人員表示,由於這類遠端存取木馬持續透過釣魚郵件和惡意附件鎖定一般使用者,主動採取資安防護措施變得比以往更加重要。

本文轉載自 TheHackerNews。