探索 REF2731 入侵活动

要点总结

• PARALLAX 加载器恶意文档攻击活动继续成功地传播 NETWIRE RAT。
• PARALLAX 加载器利用了高级功能，包括 DLL 侧加载、syscall 使用、进程和隐写术。
• 共享基础设施可用于将攻击活动和入侵活动拼接在一起。

序言

Elastic Security Labs 团队一直在跟踪 REF2731，这是一个涉及 PARALLAX 加载器的入侵活动，该加载器部署了 NETWIRE RAT。这项活动设法在低检测率的情况下保持低调，并继续融入有趣的技巧，例如 DLL 侧加载、syscall 采用、进程注入和利用隐写术。

PARALLAX 是一个功能齐全的模态后门和加载器，具有防御规避和信息窃取功能，最早在 2020 年被观察到，并与 COVID-19 恶意垃圾邮件攻击活动相关联。NETWIRE 是一款成熟的跨平台 RAT，最早在 2012 年被观察到。

在本研究出版物中，我们将介绍观察到的其中一个攻击活动的执行流程、PARALLAX 加载器的不同功能、围绕攻击活动的技术分析、攻击活动交叉点、检测逻辑和原子指标。

执行流程（PARALLAX 加载器）

Elastic Security Labs 团队在过去一年中一直在监控多个利用 PARALLAX 加载器的攻击活动。PARALLAX 具有多种功能和用例。此分析观察到 PARALLAX 加载器被用于加载其他远程访问工具（NETWIRE RAT）。使用我们的 PARALLAX 有效负载提取器，我们还观察到 PARALLAX 加载器被用于加载 PARALLAX RAT 以进行交互式远程访问。这些感染通常始于电子邮件垃圾邮件攻击活动，发送启用宏的诱饵文档。

2022 年 7 月 27 日，微软开始推出对 Office 文档的更改，这将阻止用户打开来自互联网（例如电子邮件附件）的文件中的宏。我们尚未观察到此入侵活动根据此更新而更改 TTP。我们为此研究收集的启用宏的 Word 文档样本始于 2022 年 3 月，一直持续到 2022 年 8 月。

执行流程的概要总结

1. 向受害者发送一封电子邮件，其中包含启用宏的 Microsoft Word 文档附件。
2. 宏下载用于 DLL 侧加载和注入的恶意文件。
3. Microsoft 开发人员工具 ( MsiDb.exe ) 侧加载恶意文件 ( msi.dll )。
4. 此恶意 DLL 会删除并解密 WAV 文件 ( cs16.wav )，然后将内容（shellcode）注入到 cmd.exe 中。
5. 注入的 shellcode 用于从删除的图像 ( paper.png ) 中提取 NETWIRE RAT 并设置 PARALLAX 加载器，然后注入到 cmd.exe 中。
6. 使用计划任务来建立 PARALLAX RAT 的持久性。
7. 然后执行 NETWIRE 有效负载并设置其自身的持久性机制。

第一阶段（诱饵/宏）

这些攻击活动的第一阶段涉及启用宏的诱饵文档，通常以美国税务申报为主题。

在此诱饵中，我们观察到从 GLPK (GNU Linear Programming Kit) 中提取的合法代码，用于绕过对宏的静态分析。然后，恶意代码与宏交织在一起，使其看起来非常真实且更具欺骗性。

当下一阶段使用的关键组件未存储在宏本身中，而是从埋在诱饵文档深处几页的文本中调用时，也会观察到这种混淆方法。

宏解析诱饵文档第三页上嵌入的段落文本，并根据字符串长度定位对象名称和下一阶段组件。这是一种巧妙的技术，可以避免基于宏的静态分析进行检测（绿色文本注释由 ESL 添加到下面的图像中以使清晰）。

然后，宏使用 CreateObject 函数创建所需的对象并下载每个恶意软件组件，将它们保存到当前用户的 AppData 目录中。

然后，它通过创建的 wscript.shell 对象执行 AppData\MsiDb.exe。

对于此观察到的诱饵，如下面的嵌入文本图像中标识的，为下一阶段下载的五个组件是

第二阶段 (MsiDb.exe)

这些攻击活动的关键优势之一是它能够通过修改合法的 DLL 来绕过静态检测，这是之前在 BLISTER 加载器分析中报告的常见趋势 [1, 2]。检索完所有组件后，宏会执行已签名的 Microsoft 开发工具 ( MsiDb.exe )，以加载先前下载的恶意库 ( msi.dll )。

当该攻击活动于 2022 年 9 月开始时，由于其 DLL 篡改技术，该 DLL 在 VirusTotal 中没有检测到，其中一个良性函数的轻微修改被第二阶段覆盖。

当 ( MsiDb.exe ) 侧加载恶意 ( msi.dll ) 模块时，我们可以看到 msi.dll 的已修补版本和未修补版本之间的差异。

在此加载阶段，恶意代码被高度混淆，并利用 动态 API 解析来绕过静态分析工具和进程。它使用两个函数来执行此操作

• 一个函数用于使用所请求库名称的 CRC32 校验和哈希检索库地址。
• 另一个函数用于获取库的地址和 API 名称的哈希。

然后，恶意软件构建自己的导入表，将其存储在堆栈中。一个有趣的方面是，恶意代码会执行反分析检查，以查看当前进程名称是否与目标应用程序 ( MsiDb.exe ) 匹配，如果不匹配，恶意软件将在这一阶段停止。此检查将阻碍可能尝试通过使用其他常见应用程序（如 rundll32.exe 或 regsvr32.exe）单独执行来分析 msi.dll 的自动化动态分析系统。

接下来，恶意软件将加载 cs16.wav 并使用嵌入在文件中的密钥对其进行 XOR 解密。密钥位于文件前 4 个字节后的 200 个字节（字节 5-204）中。

然后，恶意软件将执行解密的 WAV 文件内的 shellcode。

第三阶段（shellcode）

为了规避 EDR/AV 产品利用的用户模式挂钩以及调试器断点，恶意软件使用直接系统调用到用于进程注入的低级 API。它首先通过映射来自系统目录的 Windows ntdll.dll 库的文件视图来实现此目的。

然后，它通过从加载的 ntdll.dll 的加载基址中减去 API 地址来检索 API 偏移量，最后它将使用来自映射的 ntdll.dll 的偏移量并提取 syscall 编号。

之后，加载器使用Heaven’s Gate 技术，并利用 Windows 原生 ZwAllocateVirtualMemory、ZwWriteVirtualMemory 和 ZwResumeThread API 函数在挂起的 cmd.exe 进程中执行注入。

第四阶段

在此阶段观察到的一种有趣技术是使用一个丢弃的文件（cs16.cfg）。该文件是一个合法的 Python 头文件，并在前面附加了下一阶段的文件名（paper.png）。在我们的观察中，这些指向之前下载的本地文件，但也具有指向托管对象的灵活性。这是使用良性代码来混淆更恶意意图的另一个例子。

如果 (cs16.cfg) 的第一个字符串指向一个托管文件，它将使用 IBackgroundCopyManager 组件对象模型 (COM) 接口下载一个 PNG 文件，并将其存储在磁盘上（在我们的示例中是 paper.png）。

恶意软件从隐写术混淆的 PNG 中提取一个配置结构，该结构包含下一个 PARALLAX 加载器阶段和最终负载；在我们的样本中，我们将最终负载识别为 NETWIRE RAT，但此过程可用于传递其他负载。

恶意软件执行与位置无关的 shellcode，该 shellcode 读取并解码 PNG 文件，它首先通过解析 PNG 将红色像素字节提取到数组中，然后使用 LZMA 算法解压缩数据。

接下来，它创建一个挂起的 cmd.exe 进程，并注入 NETWIRE 负载和最后一个 PARALLAX 阶段，该阶段将设置环境并执行 NETWIRE 负载。

下面是显示托管 NETWIRE 负载的注入进程的内存区域

第五阶段

PARALLAX 加载器的第五个也是最后一个阶段通过 CMSTPLUA COM 接口执行 UAC 绕过，这是勒索软件 LockBit 使用的技术，然后通过创建一个计划任务来使用组件对象模型 (COM) 运行 Msidb.exe，从而在系统上设置持久性，然后再执行最终负载。

活动分析

在分析诱饵文档和恶意软件家族的过程中，我们观察到两个与其 TTP、恶意软件、网络基础设施和诱饵元数据相关的活动。

我们观察到的交集使我们能够观察到额外的网络基础设施，并确定活动 1 中一个基础设施所有者的特征。

在以下各节中，我们将描述与每个活动相关的相关要素和工件，以及它们之间的关系。

本节将重点介绍活动交集。由于每个活动在技术实现方面都类似（诱饵文档 -> 宏 -> 防御规避技术 -> PARALLAX 加载器 -> NETWIRE RAT），我们将使用之前执行流程部分详细描述的 PARALLAX 和 NETWIRE 恶意软件部署的五个阶段的分析。

虽然我们没有将这些活动归因于任何特定的威胁行为者，但我们已经确定了利用我们观察到的相同 TTP 的并行研究。这项研究归因于以经济为动机的威胁组织 Evilnum [1, 2] 和 DarkCasino 活动。

活动 1

概述

此活动通过共享的诱饵文档元数据、网络基础设施、丢弃的宏和恶意 DLL (msi.dll) 进行聚类。

诱饵文档

活动 1 中使用的三个诱饵文档都是嵌入了宏的 Microsoft Word 文档。这些文档的长度均为 153 页，宏嵌入在第 3 页。这些文档都包含 H1 Word 文档标题 Как я искал Гантмахера（大致翻译为：“我如何寻找冈特马赫”）。Vsevolod Gantmakher 是一位俄罗斯物理学家。

提取所有三个文档的元数据，我们可以根据几个字段查看它们的关系；最值得注意的是

• 相同的 HeadingPairs（Word 文档标题的名称）。
• 相同的 CreationDate 日期。
• 相同的 LastPrinted 日期。
• ModifyDate 日期都在 14 分钟内。

诱饵文档的 H1 文档标题似乎与目标无关，因为诱饵文档名称和诱饵文档内容完全不相关：三个文档名称中的两个与 2021 年美国税务申报有关，所有三个文档名称均为英文，诱饵文档的内容为西里尔文。

宏

该宏从每个诱饵文档的不同域下载五个文件，在上面的“执行流程”部分中详细介绍（cs16.wav、msi.dll、MsiDb.exe、paper.png 和 cs16.cfg）。

网络基础设施

活动 1 包括宏联系的三个域，用于下载第二到第五阶段所需的工件（如上“执行流程”部分所述）和三个用于 NETWIRE RAT C2 的域。

这六个域是

• digitialrotprevention[.]com - 宏连接。
• internationalmusicservices[.]com - 宏连接。
• globalartisticservices[.]com - 宏连接。
• ohioohioa[.]com - NETWIRE C2。
• ywiyr[.]com - NETWIRE C2。
• septton[.]com - NETWIRE C2。

宏连接的域（digitialrotprevention[.]com、internationalmusicservices[.]com 和 globalartisticservices[.]com）包含元数据，这些元数据使我们能够将这三个域在活动 1 中聚在一起。

在上图中，管理员电子邮件地址和管理员用户名分别为 russnet123@protonmail[.]com 和 rus fam。在撰写本文时，这些域已被暂停。

我们的研究确定了一个额外的域 micsupportcenter[.]com，它具有相同的管理员电子邮件地址和管理员用户名。诱饵文档包括类似的美国税务文档主题、宏元素和 TTP；但我们无法确认它是此活动的一部分。该诱饵文档最早于 2022 年 5 月被观察到，可能是一个测试浪潮的一部分，但这只是推测。我们确信这是一个恶意域，并将其作为此入侵集的指示性工件包括在内，但不是此活动的一部分。

一旦执行流程到达第四阶段（如上“执行流程”部分所述），最后三个域（ohioohioa[.]com、ywiyr[.]com 和 septton[.]com）将充当 NETWIRE RAT 的持续命令和控制节点。

虽然 ohioohioa[.]com 和 ywiyr[.]com 受隐私服务保护，但 septton[.]com 具有我们能够收集的有趣元数据，并在下面的 SEPTTON 域部分中进行了概述。

活动 1 指标

活动 2

概述

此活动通过其诱饵文档元数据、网络基础设施、丢弃的宏和恶意 DLL (msvcr100.dll) 进行聚类。

诱饵文档

活动 2 中使用的诱饵文档是嵌入了宏的 Microsoft Word 文档。文档元数据根据 LastModifiedBy 字段和宏网络基础设施将其与活动 1 区分开来。

文档名称也与 2021 年美国税务申报有关。

宏

与活动 1 一样，该宏下载多个文件。除了 DLL 文件 (msvcr100.dll) 外，所有文件在被收集之前都已脱机。根据在此活动中观察到的 TTP，我们高度确信它们（java.exe、Fruit.png、idea.cfg 和 idea.mp3）的功能与活动 1 中的文件类似，并在上面的“执行流程”部分中进行了详细介绍。

有关活动 1 和活动 2 文件关系的更多详细信息，请参见下面的“活动交集”部分。

网络基础设施

活动 2 包括宏联系的一个域，用于下载第二到第五阶段所需的工件（如上“执行流程”部分详细所述）。此外，还有一个域用于 NETWIRE RAT C2。

这两个域是

• solro14.s3.ap-northeast-3.amazonaws[.]com - 宏连接
• ohioohioa[.]com - NETWIRE C2

一旦执行流程到达第四阶段，ohioohioa[.]com 将充当 NETWIRE RAT 的持续命令和控制节点。

活动 2 指标

活动交集

活动 1 和活动 2 在几个方面相交。

如下图所示，每个活动都依赖于一个（或多个）诱饵文档来执行一个宏，该宏联系对手拥有或控制的域；下载用于安装和保护 PARALLAX 和 NETWIRE RAT 植入的工件。此外，在我们分析的两个活动中，还有一个共享的网络基础设施用于 NETWIRE C2。

痛苦金字塔

2013 年（并在 2014 年更新），安全研究员 David Bianco 发布了一个名为痛苦金字塔的分析模型。该模型旨在了解揭示入侵的不同部分如何影响活动。正如您在下面的模型中看到的那样，识别哈希值很有用，但很容易被对手更改，而识别 TTP 对于对手来说很难更改。

使用“痛苦金字塔”的目标是尽可能多地了解入侵行为，并预测您可以造成的（读作：）“痛苦”程度。

在分析这两个攻击活动时，我们可以将“痛苦金字塔”付诸实践。

• 哈希值 - 每个诱饵文档都有唯一的哈希值。

• IP地址 - 每个网络连接都利用不同的IP地址。

• 域名 - 每个网络连接都为宏组件利用了独占域名，但共享一个NETWIRE C2域名 (ohioohioa[.]com)。

• 网络/主机工件

  • 在攻击活动 1 中观察到名称相同的主机工件。
  • 在攻击活动 2 中观察到，从攻击活动 1 重命名但功能相同的主机工件。
  • 来自两个攻击活动的工件包都包含格式相似且功能相同的文件。

• 工具 - 启用宏的 Word 文档诱饵，以及 PARALLAX 和 NETWIRE RAT。

• TTP - 复杂且具有防御性的五阶段执行链。

纵观这两个攻击活动，我们可以看到在域名层级的 NETWIRE C2 域名 (ohioohioa[.]com) 中存在一些共享的基础设施。在网络/主机工件层级，我们可以看到攻击活动之间存在额外的交集。

在两个攻击活动中，我们都可以看到网络/主机工件层级存在 PE 文件 (MsiDb.exe 和 java.exe )、DLL 文件 ( msi.dll 和 msvcr100.dll )、PNG 文件 (paper.png 和 Fruit.png )、音频格式命名文件 (cs16.wav 和 idea.mp3 ) 以及配置文件 (cs16.cfg 和 idea.cfg )。在攻击活动 1 中，所有下载的文件在所有三个诱饵文档中都具有相同的名称。在两个攻击活动中，音频格式命名文件与配置文件具有相同的基本名称 (cs16.wav / cs16.cfg 和 idea.mp3 / idea.cfg )。在两个攻击活动中，我们高度确信所有主机工件在功能上都是相同的，如上面的“执行流程”部分所述。

SEPTTON 域名

如攻击活动 1 部分所述，大多数网络基础设施要么在多个与我们的攻击活动无关的入侵中被广泛使用，要么受到域名隐私服务的保护。

一个例外是 seppton[.]com 域名，它在我们抽样中被用作 NETWIRE RAT 植入的 C2 节点。继续分析此域名，我们观察到其他几个相关的恶意文件。虽然我们没有独立验证与此域名通信的恶意软件家族，但 VirusTotal 中的签名名称包括 NETWIRE。

应该注意的是，仅凭 VirusTotal 中的签名名称不足以高度确信地将恶意软件样本归属于某个恶意软件家族。

查看该域名的注册信息，我们注意到了两个值得注意的元素，即两个电子邮件地址 - marketforce666@yandex[.]com 和 chisholm.i@aol[.]com。

在接下来的两节中，我们将讨论攻击活动中使用的域名的资源开发。

marketforce666

在搜索引擎中搜索 marketforce666 没有返回来自美国的有价值的结果；但是，当切换到俄罗斯境内的互联网出口点并使用 Yandex 搜索引擎（Yandex 是俄罗斯互联网服务提供商）时，我们发现了 802 个结果，表明该术语已与多个滥用报告相关联。

当扩展对 marketforce666@yandex[.]com 注册的域名的搜索时，我们发现了三个额外的域名。我们没有在我们的攻击活动中观察到这些额外的域名，但我们将它们作为指示器工件包括在内。以下是 marketforce666@yandex[.]com 以管理员、技术或注册人地址注册的全部四个域名（一个来自攻击活动 1，三个是额外的）。

gaza666

查看另一个电子邮件地址 chisholm.i@aol[.]com，我们能够将此电子邮件地址与在线论坛和市场 Infected Zone 的 gaza666 别名联系起来。

在此论坛上，用户 gaza666 试图从在线卖家 rzkyo 购买 (https://infected-zone[.]com/threads/2814/) 一个“Office 365 完整包”。gaza666 和卖家 rzkyo 在论坛上发生了争议，其中 gaza666 认为他们没有收到他们购买的东西 - 一个用于电子邮件垃圾邮件和四个美国 Office 365 帐户的软件包，但收到了三个无法使用的非 Office 365 菲律宾帐户。卖家 rzkyo 回应了，两人就购买了什么和交付了什么进行了辩论。版主回应了此争议，并试图解决问题。

争议的结果没有在论坛中，但有几张截图显示 rzkyo 向 gaza666 和版主展示了他们出售的服务是可用的。

虽然尚不清楚 gaza666 试图从 rzkyo 购买的上述基础设施是否在我们的观察到的攻击活动中使用（或者是否使用过），但 gaza666 与 chisholm.i@aol[.]com 相关联，该电子邮件地址用于注册 septton[.]com，而 septton[.]com 在攻击活动 1 中被用作 NETWIRE C2 节点。

marketforce666 (marketforce666@yandex[.]com) 和 gaza666 (chisholm.i@aol[.]com) 之间存在关系，因为这两个电子邮件都用于注册 septton[.]com，该域名被用作攻击活动 1 的 NETWIRE C2 域名。附加到 marketforce 和 gaza 的 666 术语可能是他们关系的另一个指标，但这无法确认。

钻石模型

Elastic Security 利用 钻石模型 来描述入侵的攻击者和受害者之间的高级关系。

观察到的攻击者策略和技术

Elastic 使用 MITRE ATT&CK 框架来记录高级持续性威胁针对企业网络使用的常见策略、技术和程序。

策略

策略代表技术或子技术的“为什么”。它是攻击者的战术目标：执行行动的原因。

• 资源开发
• 初始访问
• 执行
• 持久化
• 权限提升
• 防御规避
• 命令和控制

技术/子技术

技术和子技术代表攻击者如何通过执行行动来实现战术目标。

• 获取基础设施：域名
• 网络钓鱼：附件
• 劫持执行流程：DLL 侧加载
• 进程注入
• 计划任务
• 本机 API
• 混淆的文件或信息：隐写术
• 滥用提升控制机制：绕过用户帐户控制

检测

检测逻辑

在分析此入侵集的过程中，观察到以下检测规则和行为预防事件。

行为规则

• NetWire RAT 注册表修改
• Remcos RAT 注册表或文件修改

检测规则

• 通过创建计划作业实现持久化
• 命令提示符网络连接

签名

• Windows.Trojan.Parallax
• Windows.Trojan.Netwire
• Windows.Trojan.Remcos

YARA

Elastic Security 已创建 YARA 规则来识别此活动。

rule Windows_Trojan_Parallax_1 {
    meta:
        author = “Elastic Security”
        creation_date = "2022-09-05"
        last_modified = "2022-09-15"
        license = “Elastic License v2”
        os = "Windows"
        arch = "x86"
        category_type = "Trojan"
        family = "Parallax"
        threat_name = "Windows.Trojan.Parallax"
    strings:
        $COM_png = { B9 01 00 00 00 6B D1 00 C6 44 15 D4 83 B8 01 00 00 00 C1 E0 00 C6 44 05 D4 B6 B9 01 00 00 00 D1 E1 C6 44 0D D4 33 BA 01 00 00 00 6B C2 03 C6 44 05 D4 28 B9 01 00 00 00 C1 E1 02 C6 44 0D D4 36 BA 01 00 00 00 6B C2 05 C6 44 05 D4 6B B9 01 00 00 00 6B D1 06 C6 44 15 D4 90 B8 01 00 00 00 6B C8 07 C6 44 0D D4 97 }
        $png_parse = { 8B 4D ?? 8B 04 B8 85 C9 74 ?? 8B F1 90 8A 08 8D 40 ?? 88 0C 1A 42 83 EE ?? 75 ?? 8B 4D ?? 8B 45 ?? 47 3B 7D ?? 72 ?? }
        $config_func = { C7 45 F8 68 74 74 70 8B ?? ?? 8B 02 89 ?? ?? 6A 08 8D ?? ?? 51 E8 ?? ?? ?? ?? 83 C4 08 8B ?? ?? 52 8D ?? ?? 50 8B ?? ?? 8B 51 0C FF D2 }
        $winnet_function = { B8 77 00 00 00 66 89 ?? ?? B9 69 00 00 00 66 89 ?? ?? BA 6E 00 00 00 66 89 ?? ?? B8 69 00 00 00 66 89 ?? ?? B9 6E 00 00 00 66 89 ?? ?? BA 65 00 00 00 66 89 ?? ?? B8 74 00 00 00 66 89 ?? ?? 33 C9 66 89 ?? ?? 8D ?? ?? 52 8B ?? ?? 8B 48 1C FF D1 }
    condition:
        $config_func or $winnet_function or $COM_png or $png_parse
}

rule Windows_Trojan_Parallax_2 {
    meta:
        author = “Elastic Security”
        creation_date = "2022-09-08"
        last_modified = "2022-09-08"
        license = “Elastic License v2”
        os = "Windows"
        arch = "x86"
        category_type = "Trojan"
        family = "Parallax"
        threat_name = "Windows.Trojan.Parallax"
    strings:
        $parallax_payload_strings_0 = "[Ctrl +" ascii wide fullword
        $parallax_payload_strings_1 = "[Ctrl]" ascii wide fullword
        $parallax_payload_strings_2 = "Clipboard Start" ascii wide fullword
        $parallax_payload_strings_3 = "[Clipboard End]" ascii wide fullword
        $parallax_payload_strings_4 = "UN.vbs" ascii wide fullword
        $parallax_payload_strings_5 = "lt +" ascii wide fullword
        $parallax_payload_strings_6 = "lt]" ascii wide fullword
        $parallax_payload_strings_7 = ".DeleteFile(Wscript.ScriptFullName)" ascii wide fullword
        $parallax_payload_strings_8 = ".DeleteFolder" ascii wide fullword
        $parallax_payload_strings_9 = ".DeleteFile " ascii wide fullword
        $parallax_payload_strings_10 = "Scripting.FileSystemObject" ascii wide fullword
        $parallax_payload_strings_11 = "On Error Resume Next" ascii wide fullword
        $parallax_payload_strings_12 = "= CreateObject" ascii wide fullword
        $parallax_payload_strings_13 = ".FileExists" ascii wide fullword
    condition:
        7 of ($parallax_payload_strings_*)
}

PARALLAX 有效载荷提取器

当涉及到威胁搜寻时，自动从 PARALLAX 中提取有效载荷是一个关键方面，因为它提供了攻击活动的可见性以及威胁参与者部署的恶意软件，这使我们能够及时发现新的未知样本。

我们的提取器采用带有 -d 选项的样本目录或用于单个样本的 -f 选项，您可以使用 -o 开关来设置有效载荷的输出目录。

为了使社区能够进一步防御现有和新的 PARALLAX 加载程序变体，我们将有效载荷提取器以 Apache 2 许可证开源。可以在此处访问有效载荷提取器文档和二进制下载。

结论

在上述研究中，我们分析了我们跟踪的两个攻击活动，这些攻击活动使用嵌入宏的诱饵文档，这些文档从互联网上的暂存主机下载看似良性的工件，并将这些工件武器化以执行持久化、命令和控制以及对受感染主机的远程访问。

我们还强调了用于将这两个攻击活动聚集在一起的要素，以及如何将这些攻击活动与分析模型一起使用以对攻击活动所有者施加成本。

参考资料

以上研究中引用了以下内容

• https://blog.morphisec.com/parallax-rat-active-status
• https://malpedia.caad.fkie.fraunhofer.de/details/win.parallax
• https://attack.mitre.org/software/S0198/
• https://attack.mitre.org/groups/G0120/
• https://malpedia.caad.fkie.fraunhofer.de/actor/evilnum
• http://blog.nsfocus.net/darkcasino-apt-evilnum/

指示器

工件还可以下载，格式为 ECS 和 STIX，包含在一个 zip 捆绑包中。