CountLoader惡意軟體
網路安全分析師發現了一種新的惡意軟體傳播活動,該活動利用提供盜版軟體的網站傳播一種名為 CountLoader 的隱藏式模組化載入器的更新變種。攻擊者透過誘騙用戶搜尋破解版應用程序,從而獲得初始立足點,進而實現隱蔽訪問、繞過防禦,並分階段投放其他惡意工具。
目錄
CountLoader 在多階段入侵中的作用
在此次攻擊活動中,CountLoader 是更廣泛攻擊鏈中的第一個元件。先前的調查已經表明,該加載器能夠部署一系列二級有效載荷,包括 Cobalt Strike、AdaptixC2、PureHVNC RAT、Amatera Stealer 和 PureMiner。有證據表明,CountLoader 至少從 2025 年 6 月起就已被積極用於實際攻擊,這凸顯了其成熟度和持續發展。
從虛假下載到靜默處決
感染過程始於受害者嘗試下載破解版的合法軟體,例如 Microsoft Word。他們不會收到承諾的應用程序,而是會被重定向到一個託管在 MediaFire 上的 ZIP 壓縮包。該壓縮包包含兩個關鍵文件:一個加密的 ZIP 文件和一個 Word 文檔,該文檔恰好提供了打開 ZIP 文件所需的密碼。
受保護的壓縮包內包含一個合法的 Python 解釋器,該解釋器已重新命名為 Setup.exe。此可執行檔被設定為啟動惡意命令,利用 mshta.exe 從遠端伺服器檢索 CountLoader 版本 3.2,從而悄悄地啟動入侵程序。
透過欺騙和環境意識實現堅持
為了確保長期訪問,該惡意軟體透過創建一個看似合法的計劃任務來建立持久性。該任務名稱為“GoogleTaskSystem136.0.7023.12”,後面跟著一個類似唯一識別碼的字串。此任務配置為每30分鐘執行一次,持續十年,呼叫mshta.exe,並在必要時使用備用域。
在最終確定其持久化機制之前,CountLoader 會透過 Windows 管理規格 (WMI) 查詢防毒軟體清單,檢查系統中是否有特定的安全產品。如果偵測到該工具,載入器會巧妙地改變其執行方式,使用 `cmd.exe /c start /b mshta.exe` 指令。否則,它會直接使用 `mshta.exe` 連接遠端 URL,從而最大限度地減少系統摩擦和疑慮。
擴充功能和模組化特性
一旦建立連接,CountLoader 會對受感染主機進行分析,並根據需要檢索其他有效載荷。最新版本引入了新功能,包括透過可移動 USB 驅動器傳播以及使用 mshta.exe 或 PowerShell 直接在記憶體中執行惡意程式碼。其支援的功能包括:
- 從遠端 URL 取得並執行可執行文件
- 下載 ZIP 壓縮套件並執行其中嵌入的 Python 模組或 EXE 文件
- 取得 DLL 檔案並透過 rundll32.exe 啟動它們
- 下載並安裝 MSI 軟體包
- 刪除自身預定任務以減少取證痕跡
- 收集和提取詳細的系統信息
- 透過建立隱藏的原始檔案並同時建立惡意 LNK 文件,利用可移動媒體傳播惡意軟體。這些惡意 LNK 檔案會透過 mshta.exe 執行合法檔案和惡意軟體,並附有命令與控制參數。
- 直接針對攻擊者控制的URL呼叫mshta.exe
- 完全在記憶體中執行遠端 PowerShell 有效負載
最終有效載荷:ACR竊取器
在觀察到的攻擊鏈中,CountLoader最終投放了ACR Stealer,這是一種旨在從受感染系統中竊取敏感資料的資訊竊取惡意軟體。這個最後階段將最初利用盜版軟體進行的誘餌行動轉變為全面的資料竊取行動。
這場運動對捍衛者們發出了什麼訊號?
此次行動顯示 CountLoader 的持續演變和日益精進的技術水平。它結合了濫用 Python 解釋器、偽裝定時任務、濫用簽名二進位檔案以及無檔案記憶體執行等手段,反映出入侵技術正朝著更隱蔽的方向發展。對於防禦者而言,這次攻擊活動再次強調了主動監控、多層安全控制以及提高用戶安全意識的重要性,尤其是在下載未經授權或破解軟體的風險方面。
