RustyBuer 恶意软件

安全研究人员发现，RustyBuer 是 Buer 恶意软件加载程序的新版本。最初的威胁是在 2019 年首次发现的，当时它可以在地下黑客论坛上购买。 Buer充当初始有效载荷，在目标系统上建立立足点，并继续通过提供下一阶段的恶意软件威胁来升级攻击。较新的版本保留了相同的功能，主要区别在于它是用 Rust 编程语言编写的。

使用较新的和不太成熟的编程语言重新创建现有的恶意软件威胁是网络犯罪分子中相对较新的趋势。这样做可以让他们避免使用基于签名的反恶意软件安全解决方案，这些解决方案可以轻松检测到威胁的原始版本。同时，与必须构建全新恶意软件的替代方案相比，它大大减少了释放威胁所需的时间。

RustyBuer 的攻击链

在涉及 RustyBuer 恶意软件的系列攻击中，威胁行为者散布了假装来自国际物流公司 DHL 的诱饵电子邮件。为了增加假邮件的合法性，黑客加入了几个网络安全提供商的标志。虚假电子邮件的文本指示目标受害者打开附件，通常是武器化的 Word 或 Excel 文档。损坏的文件包含将 RustyBuer 威胁传递到系统的宏。为了避免端点安全解决方案的检测，宏利用了应用程序绕过。

一旦进入受害者的设备，RustyBuer 就会检查环境是否存在虚拟化迹象。然后，它执行地理位置检查以确定用户是否来自特定的独联体（独联体）国家，如果找到匹配项，恶意软件将终止其执行。 RustyBuer 还通过在每次系统启动时启动的 LNK 文件建立持久性机制。

下一阶段有效载荷

对最近部署 RustyBuer 的攻击活动的分析表明，该威胁与之前在 Buer 中观察到的行为基本一致——威胁行为者在被破坏的系统上投放了 Cobalt Strike Beacon。 Cobalt Strike 是一种合法的渗透测试工具，经常被威胁行为者利用，并将其纳入其威胁操作中。

然而，在某些情况下，在系统上建立 RustyBuer 之后，威胁行为者没有升级行为者，也没有检测到第二阶段的有效载荷。研究人员认为，这是威胁行为者试图操作访问即服务计划的迹象，该计划提供将感染后对系统的访问权出售给其他网络犯罪团体。

还应该指出的是，独联体地区受限制国家名单的存在表明 RustyBuer 的运营商可能与俄罗斯有联系。