水咒组织利用76个GitHub账号发起多阶段恶意软件攻击

网络安全研究人员近日曝光了一个名为"水咒"（Water Curse）的未知威胁组织，该组织通过武器化的GitHub代码库分发多阶段恶意软件。

恶意软件功能与传播手法

趋势科技研究人员Jovit Samaniego、Aira Marcelo、Mohamed Fahmy和Gabriel Nicoleta在本周发布的分析报告中指出："该恶意软件能够窃取数据（包括凭证、浏览器数据和会话令牌）、实现远程访问，并在受感染系统上保持长期驻留。"

这项"广泛且持续"的攻击活动最早于上月被发现。攻击者建立了多个代码库，表面上提供看似无害的渗透测试工具，但实际上在其Visual Studio项目配置文件中隐藏了恶意载荷，包括SMTP邮件轰炸器和Sakura-RAT（樱花远程访问木马）。

技术特点与攻击能力

研究人员表示："执行后，恶意载荷会启动复杂的多阶段感染链，使用经过混淆处理的Visual Basic Script（VBS）和PowerShell脚本。这些脚本会下载加密压缩包，提取基于Electron的应用程序，并进行广泛的系统侦察。"

攻击还采用了反调试技术、权限提升方法和持久化机制，以在受影响主机上保持长期存在。攻击者还使用PowerShell脚本来削弱主机防御能力并阻止系统恢复。

攻击者背景与活动规模

水咒组织被描述为一个以经济利益为动机的威胁组织，主要通过凭证窃取、会话劫持和非法访问权限转售获利。目前已发现多达76个GitHub账号与该活动相关。有证据表明，相关攻击活动可能最早可追溯至2023年3月。

趋势科技指出："他们的代码库包含恶意软件、规避工具、游戏作弊器、自动瞄准机器人、加密货币钱包工具、开源情报（OSINT）爬虫、垃圾邮件机器人和凭证窃取程序。这反映出一种将网络犯罪与机会性获利相结合的多垂直领域攻击策略。"

相关攻击活动与防御挑战

近期还观察到多个攻击活动利用流行的ClickFix策略部署各种恶意软件家族，包括AsyncRAT、DeerStealer（通过名为Hijack Loader的加载器）、Filch Stealer、LightPerlGirl和SectopRAT（同样通过Hijack Loader传播）。

Halcyon公司表示："这种手法使恶意软件能够绕过传统边界防御，特别是通过使用Cloudflare的临时隧道从看似合法的基础设施提供有效载荷。这些隧道为攻击者提供了短暂且未注册的子域名，这些子域名对边界控制来说显得可信，使得预先阻止或列入黑名单变得困难。"

欧洲地区的针对性攻击

近期还发现一项针对西班牙、葡萄牙、意大利、法国、比利时和荷兰等欧洲组织的恶意活动，通过发票主题的钓鱼诱饵分发名为Sorillus RAT（又称Ratty RAT）的远程访问木马。

Orange Cyberdefense详细描述的该攻击链使用类似的钓鱼邮件，诱骗收件人打开包含OneDrive链接的PDF附件，该链接指向直接托管在云存储服务上的PDF文件，同时提示用户点击"打开文档"按钮。

Sorillus RAT的功能特点

首次出现于2019年的Sorillus是一种基于Java的跨平台远程访问木马，能够收集敏感信息、下载/上传文件、截取屏幕截图、录制音频、记录键盘输入、运行任意命令甚至卸载自身。更糟糕的是，该木马的多个打包版本都可以在网上轻易获取。

Orange Cyberdefense表示："该行动展示了将OneDrive、MediaFire以及Ngrok和LocaltoNet等隧道平台合法服务战略性地结合起来以逃避检测。有效载荷中反复使用巴西葡萄牙语，很可能指向讲葡萄牙语的巴西威胁行为者。"