Quasar RAT 利用 DLL 侧载技术进行恶意活动

关键要点

Quasar RAT又称 CinaRAT 或 Yggdrasil利用新的 DLL 侧载技术来隐蔽恶意数据泄露活动。攻击从一个包含被重命名为 eBill997358806exe 的合法 ctfmonexe 二进制文件的 ISO 镜像开始。该文件执行后会侧载包含混淆恶意代码的 MsCtfMonitordll 文件。研究表明，Quasar RAT 不仅可以收集系统数据，还能执行任意的 shell 命令。用户被建议对钓鱼邮件保持警惕。

根据The Hacker News的报道，新型 DLL 侧载技术被 Quasar RAT 后门程序利用，这种方式使得其在攻击 Windows 设备时的恶意数据外泄活动更加隐蔽。攻击的初始步骤是通过部署一个包含合法 ctfmonexe 但被重命名为 eBill997358806exe 的 ISO 镜像开始，当该文件执行时，便会侧载一个名为 MsCtfMonitordll 的恶意文件，这个文件中含有混淆的恶意代码。

有关的研究报告来自 Uptycs，指出隐藏代码的注入过程会在 Windows Assembly Registration Tool 中完成，接着执行 Calcexe 进程以侧载恶意的 Secure32dll 文件，从而触发 Quasar RAT 的有效载荷部署。Quasar RAT 的功能不仅包括系统数据收集，还可以进行任意的 shell 命令执行。目前尚未识别出具体的威胁操作与该活动相关，同时关于此攻击的初始访问向量仍存在不确定性，因此用户被提醒需对钓鱼邮件保持高度警惕。

白鲸加速器旧版本

相关链接

Quasar RAT 在网络上的表现Uptycs 报告