網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)名為Hijack Loader的惡意軟件加載器推出新版本，通過(guò)新增功能逃避檢測(cè)并在受感染系統(tǒng)中建立持久化駐留。Zscaler ThreatLabz研究員Muhammed Irfan V A在分析報(bào)告中指出："Hijack Loader新增調(diào)用棧欺騙模塊，用于隱藏函數(shù)調(diào)用（如API和系統(tǒng)調(diào)用）的原始來(lái)源。該加載器還添加了反虛擬機(jī)檢測(cè)模塊，可識(shí)別惡意軟件分析環(huán)境和沙箱。"

Hijack Loader最早于2023年被發(fā)現(xiàn)，具備投放信息竊取類惡意軟件等第二階段有效載荷的能力。該加載器配備多種模塊，可繞過(guò)安全軟件并注入惡意代碼。網(wǎng)絡(luò)安全社區(qū)將其追蹤為DOILoader、GHOSTPULSE、IDAT Loader和SHADOWLADDER等別名。

2024年10月，HarfangLab與Elastic安全實(shí)驗(yàn)室曾詳細(xì)披露Hijack Loader攻擊活動(dòng)，其利用合法代碼簽名證書及臭名昭著的ClickFix策略進(jìn)行傳播。最新版本較前代有多項(xiàng)改進(jìn)，最顯著的是新增調(diào)用棧欺騙作為規(guī)避技術(shù)，隱藏API和系統(tǒng)調(diào)用的原始來(lái)源——這種技術(shù)近期也被另一款名為CoffeeLoader的惡意軟件加載器采用。

Zscaler解釋稱："該技術(shù)通過(guò)EBP指針鏈遍歷堆棧，用偽造的堆棧幀替換真實(shí)堆棧幀，從而隱藏惡意調(diào)用痕跡。"與前代版本相同，Hijack Loader仍采用Heaven's Gate技術(shù)執(zhí)行64位直接系統(tǒng)調(diào)用以實(shí)現(xiàn)進(jìn)程注入。其他改進(jìn)包括更新進(jìn)程黑名單，新增Avast殺毒軟件組件"avastsvc.exe"，并將執(zhí)行延遲設(shè)置為5秒。

該惡意軟件還新增兩個(gè)模塊：用于檢測(cè)虛擬機(jī)的ANTIVM模塊，以及通過(guò)計(jì)劃任務(wù)建立持久化的modTask模塊。研究結(jié)果表明，Hijack Loader仍在被運(yùn)營(yíng)者積極維護(hù)，旨在增加分析與檢測(cè)難度。

SHELBY惡意軟件利用GitHub實(shí)施命令控制

與此同時(shí)，Elastic安全實(shí)驗(yàn)室披露了新型惡意軟件家族SHELBY，其利用GitHub進(jìn)行命令控制(C2)、數(shù)據(jù)外泄和遠(yuǎn)程操控，該活動(dòng)被追蹤為REF8685。攻擊鏈?zhǔn)加卺烎~(yú)郵件，通過(guò)分發(fā)包含.NET二進(jìn)制文件的ZIP壓縮包，利用DLL側(cè)加載技術(shù)執(zhí)行名為SHELBYLOADER的DLL加載器（"HTTPService.dll"）。攻擊者向伊拉克某電信公司發(fā)送高度定向的釣魚(yú)郵件，郵件實(shí)際源自目標(biāo)組織內(nèi)部。

加載器隨后與GitHub建立C2通信，從攻擊者控制的代碼倉(cāng)庫(kù)中名為"License.txt"的文件提取特定48字節(jié)值。該值用于生成AES解密密鑰，解密主后門有效載荷（"HTTPApi.dll"）并加載至內(nèi)存，避免在磁盤留下可檢測(cè)痕跡。Elastic指出："SHELBYLOADER采用沙箱檢測(cè)技術(shù)識(shí)別虛擬化或受監(jiān)控環(huán)境，執(zhí)行后將檢測(cè)結(jié)果以日志文件形式回傳C2，詳細(xì)記錄各檢測(cè)方法是否成功識(shí)別沙箱環(huán)境。"

SHELBYC2后門則解析名為"Command.txt"的文件中列出的指令，實(shí)現(xiàn)GitHub倉(cāng)庫(kù)文件上傳/下載、反射加載.NET二進(jìn)制文件以及執(zhí)行PowerShell命令。值得注意的是，其C2通信通過(guò)個(gè)人訪問(wèn)令牌(PAT)向私有倉(cāng)庫(kù)提交commit實(shí)現(xiàn)。該公司強(qiáng)調(diào)："由于PAT令牌被硬編碼在二進(jìn)制文件中，任何獲取該令牌的人理論上都能獲取攻擊者發(fā)送的指令，并訪問(wèn)任意受害機(jī)器的命令輸出。"

Emmenhtal通過(guò)7-Zip文件傳播SmokeLoader

研究人員還發(fā)現(xiàn)以支付為主題的釣魚(yú)郵件傳播代號(hào)為Emmenhtal loader（又稱PEAKLIGHT）的惡意軟件加載器家族，該加載器作為傳播SmokeLoader惡意軟件的渠道。

GDATA表示："在此次發(fā)現(xiàn)的SmokeLoader樣本中，攻擊者使用商業(yè)級(jí).NET保護(hù)工具.NET Reactor進(jìn)行混淆和打包，這一技術(shù)值得關(guān)注。雖然SmokeLoader歷來(lái)采用Themida、Enigma Protector等加殼工具及自定義加密器，但.NET Reactor因其強(qiáng)大的反分析機(jī)制，正被更多竊密軟件和加載器類惡意軟件采用。"