未明确归属的黑客组织向美国选定目标传送 AsyncRAT 恶意软件的活动至少在过去 11 个月内一直活跃，攻击者使用了数百个独特的加载程序样本和 100 多个域。

AsyncRAT 是一款适用于 Windows 的开源远程访问工具 (RAT)，自 2019 年起公开发布，具有远程命令执行、键盘记录、数据泄露和删除额外负载的功能。

多年来，该工具已被网络犯罪分子大量使用，无论是原样还是修改后的形式，用于在目标上建立立足点、窃取文件和数据以及部署其他恶意软件。

微软安全研究员Igal Lytzki 去年夏天发现了通过劫持电子邮件线程进行的攻击，但无法检索最终的有效负载。

9 月，AT&T 的 Alien Labs 研究人员团队注意到“针对某些公司的特定个人的网络钓鱼电子邮件激增”并开始调查。

“受害者及其公司都是经过精心挑选的，以扩大该活动的影响。一些已确定的目标管理着美国的关键基础设施。”——AT &T Alien Labs

这些攻击首先是一封带有 GIF 附件的恶意电子邮件，该附件会生成一个 SVG 文件，该文件会下载经过混淆的 JavaScript 和 PowerShell 脚本。

通过一些反沙箱检查后，加载程序与命令和控制 (C2) 服务器进行通信，并确定受害者是否有资格感染 AsyncRAT。

硬编码的 C2 域托管在 BitLaunch 上，该服务允许使用加密货币进行匿名支付，这对网络犯罪分子来说是一个有用的选择。

如果加载程序确定它在分析环境中运行，它就会部署诱饵有效负载，可能是为了误导安全研究人员和威胁检测工具。

加载程序使用的反沙箱系统涉及通过 PowerShell 命令执行的一系列验证，这些验证会检索系统信息详细并计算分数以指示其是否在虚拟机中运行。

AT&T Alien Labs 确定攻击者在过去 11 个月内使用了 300 个独特的加载程序样本，每个样本都对代码结构、混淆以及变量名称和值进行了微小的更改。

研究人员的另一个观察结果是使用域生成算法 (DGA)，该算法每周日都会生成新的 C2 域。

根据 AT&T Alien Labs 的调查结果，该活动中使用的域名遵循特定的结构：位于“顶级”TLD，使用八个随机字母数字字符，在 Nicenic.net 中注册，使用南非作为国家/地区代码，并且是托管在 DigitalOcean 上。

AT&T 能够解码域名生成系统背后的逻辑，甚至预测 2024 年 1 月将生成并分配给恶意软件的域名。

研究人员并未将这些攻击归因于特定对象，Alien Labs 团队提供了一组检测指标（IOCs）以及Suricata网络分析和威胁检测签名，企业、机构可以使用这些软件来检测与此 AsyncRAT 活动相关的入侵活动。

参考链接：https://www.bleepingcomputer.com/news/security/stealthy-asyncrat-malware-attacks-targets-us-infrastructure-for-11-months/