TransferLoader惡意軟體
安全研究人員正在研究 RomCom RAT 背後的臭名昭著的攻擊者與名為 TransferLoader 的惡意軟體載入程式之間的關聯。該活動以間諜活動和勒索軟體攻擊為目標,凸顯了其複雜的技術和重疊的基礎設施,需要密切關注。
目錄
兩個威脅行為者群集:TA829 和 UNK_GreenSec
網路安全研究人員將 TransferLoader 相關活動歸咎於兩個主要威脅行為者團體:
- TA829,也以 RomCom RAT、CIGAR、Nebulous Mantis、Storm-0978、Tropical Scorpius、UAC-0180、UAT-5647、UNC2596 和 Void Rabisu 等別名進行追蹤。
- UNK_GreenSec 是一個鮮為人知的集群,採用類似的策略並行運作。
TA829 尤其以其混合行動而聞名,將間諜活動與經濟攻擊相結合。這個與俄羅斯結盟的組織先前曾利用 Mozilla Firefox 和 Microsoft Windows 中的零日漏洞部署 RomCom RAT,目標是高價值的全球組織。
TransferLoader:惡意軟體活動中的出現與作用
TransferLoader 於 2025 年 2 月在一場涉及 Morpheus 勒索軟體(HellCat 勒索軟體的改名版本)的攻擊活動中首次被發現。該惡意軟體曾被用來攻擊一家未具名的美國律師事務所。與 RomCom 不同,TransferLoader 主要作為一種隱密的投遞機制,用於部署其他惡意負載,例如 Metasploit 和 Morpheus。
TransferLoader 的任務很簡單:不被發現並傳播更多惡意軟體。
利用 REM 代理基礎設施
TA829 和 UNK_GreenSec 都依賴 REM 代理服務,這些服務通常託管在受感染的 MikroTik 路由器上。這些代理程式用於路由惡意流量,掩蓋其真實來源。這些組織利用此基礎架構來執行以下操作:
- 透過免費郵件服務(例如 Gmail、ukr.net)發送網路釣魚電子郵件
- 中繼流量以隱藏上游活動
- 使用新建立和被盜的電子郵件帳戶發動攻擊
研究人員懷疑有人使用電子郵件建立工具大量產生寄件者地址(如 ximajazehox333@gmail.com 和 hannahsilva1978@ukr.net)進行網路釣魚分發。
網路釣魚機制與酬載傳遞
這兩個集群發送的網路釣魚郵件通常包含嵌入在電子郵件正文或 PDF 附件中的連結。點擊這些連結的受害者會透過 Rebrandly 遭受一系列重定向,最終進入偽造的 Google Drive 或 Microsoft OneDrive 頁面。這些重定向包括以下機制:
- 繞過沙盒環境
- 過濾掉不感興趣的系統
- 根據威脅組提供不同的最終有效載荷
不同的攻擊路徑:
- UNK_GreenSec 使用此路由部署 TransferLoader
- TA829 將目標重新導向至 SlipScreen 惡意軟體
共享工具和基礎設施
兩個參與者群體都展示了重疊的工具集和基礎設施選擇:
- 使用 PuTTY 的 PLINK 實用程式建立 SSH 隧道
- 在 IPFS(星際檔案系統)服務上託管惡意實用程式
- 利用基於 PHP 的動態重定向端點進行流量過濾
這些共享的方法表明可以協調或相互採用有效的策略。
社會工程主題與傳播策略
涉及 TransferLoader 的攻擊活動經常偽裝成工作機會郵件,用聲稱指向 PDF 簡歷的連結引誘受害者。實際上,該連結會觸發下載託管在 IPFS 網路共享上的 TransferLoader。
TransferLoader 操作的關鍵技術亮點
逃避偵測-使用重定向、過濾和分散託管來繞過傳統防禦。
有效載荷交付-充當更危險的惡意軟體的載入器,包括勒索軟體和遠端存取工具。
差異化技術-採用獨特的重定向結構(JavaScript 到 PHP 端點)來支援動態內容傳遞。
結論:了解 TransferLoader 威脅
TransferLoader 是一種隱藏的載入器,能夠發動高影響力的攻擊,構成重大威脅。 UNK_GreenSec 和 TA829 都曾使用過該載入器,這表明網路犯罪集團正在不斷創新、共享工具,並利用去中心化的基礎設施來逃避檢測,最終實現其目標。
TransferLoader 威脅的跡象包括:
- 使用 REM 代理服務
- 引用求職申請或履歷的電子郵件誘惑
- 涉及 Rebrandly 連結的重定向鏈
- 託管在基於 IPFS 的平台上的有效載荷
組織必須保持警惕,實施強大的電子郵件和網路過濾,並持續監控與這些策略相關的異常網路行為。
