最近几年中国骇客组织8220(Water Sigbin)锁定企业应用系统漏洞,借此入侵部署作案工具,占用系统硬体资源挖矿的情况不时传出,现在有研究人员发现,这些骇客作案的手法变得更隐密。
资安业者趋势科技揭露接著,载入工具在特定档案路径建立名为cvtres.exe的处理程序,并将下一阶段的有效酬载以处理程序注入的手法,载入记忆体并启动新的处理程序,执行名为PureCrypter的恶意程式载入工具。
这个恶意程式载入工具连线至C2伺服器,并将受害电脑进行注册,从而下载包含XMRig在内的最终有效酬载。
研究人员指出,PureCrypter不仅能隐藏自身,并配置在系统启动或使用者登入电脑的时候自动执行,并能建立隐藏排程执行PowerShell命令,从而将特定档案列为防毒软体Microsoft Defender的白名单。值得一提的是,为了防范研究人员逆向工程,骇客对于所有的有效酬载,皆透过.NET程式码保护软体.NET Reactor进行处理。