RustyBuer 惡意軟件

安全研究人員發現，RustyBuer 是 Buer 惡意軟件加載程序的新版本。最初的威脅是在 2019 年首次發現的，當時它可以在地下黑客論壇上購買。 Buer充當初始有效載荷，在目標系統上建立立足點，並繼續通過提供下一階段的惡意軟件威脅來升級攻擊。較新的版本保留了相同的功能，主要區別在於它是用 Rust 編程語言編寫的。

使用較新的和不太成熟的編程語言重新創建現有的惡意軟件威脅是網絡犯罪分子中相對較新的趨勢。這樣做可以讓他們避免使用基於簽名的反惡意軟件安全解決方案，這些解決方案可以輕鬆檢測到威脅的原始版本。同時，與必須構建全新惡意軟件的替代方案相比，它大大減少了釋放威脅所需的時間。

RustyBuer 的攻擊鏈

在涉及 RustyBuer 惡意軟件的系列攻擊中，威脅行為者散佈了假裝來自國際物流公司 DHL 的誘餌電子郵件。為了增加假郵件的合法性，黑客加入了幾個網絡安全提供商的標誌。虛假電子郵件的文本指示目標受害者打開附件，通常是武器化的 Word 或 Excel 文檔。損壞的文件包含將 RustyBuer 威脅傳遞到系統的宏。為了避免端點安全解決方案的檢測，宏利用了應用程序繞過。

一旦進入受害者的設備，RustyBuer 就會檢查環境是否存在虛擬化跡象。然後，它執行地理位置檢查以確定用戶是否來自特定的獨聯體（獨聯體）國家，如果找到匹配項，惡意軟件將終止其執行。 RustyBuer 還通過在每次系統啟動時啟動的 LNK 文件建立持久性機制。

下一階段有效載荷

對最近部署 RustyBuer 的攻擊活動的分析表明，該威脅與之前在 Buer 中觀察到的行為基本一致——威脅行為者在被破壞的系統上投放了 Cobalt Strike Beacon。 Cobalt Strike 是一種合法的滲透測試工具，經常被威脅行為者利用，並將其納入其威脅操作中。

然而，在某些情況下，在系統上建立 RustyBuer 之後，威脅行為者沒有升級行為者，也沒有檢測到第二階段的有效載荷。研究人員認為，這是威脅行為者試圖操作訪問即服務計劃的跡象，該計劃提供將感染後對系統的訪問權出售給其他網絡犯罪團體。

還應該指出的是，獨聯體地區受限制國家名單的存在表明 RustyBuer 的運營商可能與俄羅斯有聯繫。