2026年初,SentinelOne的端点防护系统拦截了一个名为Name_File.vbs的可疑文件。它躺在\Users\Public\Downloads\目录里,看起来平平无奇,但编码内容暴露了一个精心设计的远程调用意图。
LevelBlue的SpiderLabs团队顺着这条线索追查,发现这并非孤立事件。攻击者搭建了一套可复用的投递框架,能从同一基础设施向不同目标推送完全不同的恶意载荷。
第一层:VBS只是空壳,真正的引擎藏在PowerShell里
这个VBS文件本身不带任何有效恶意代码,纯粹是个发射台。它被埋在多层Unicode混淆字符之下,剥开后露出一段Base64编码的PowerShell命令。
这段命令才是真正的发动机。它强制启用TLS 1.2加密,用Net.WebClient类从互联网档案馆(Internet Archive)拉取远程文件。但下载的不是可执行程序,而是一张PNG图片——MSI_PRO_with_b64.png。
图片看起来正常,内部却嵌着恶意程序。攻击者在PNG数据流里塞进了BaseStart和BaseEnd标记,中间夹着一段Base64编码的.NET程序集。
第二层:PNG变成内存加载器,硬盘上不留痕迹
这个程序集被命名为PhantomVAI。PowerShell通过Reflection.Assembly::Load直接把它载入内存运行,全程不写入磁盘。
文件less(fileless)执行意味着传统基于文件扫描的杀毒软件几乎无法触及。PhantomVAI在RAM里完成部署后,开始执行它的核心任务:建立持久化后门,并与命令控制服务器保持通信。
LevelBlue分析师在同一攻击基础设施上发现了多条并行感染链。news4me[.]xyz域名下的/coupon/、/protector/、/invoice/三个开放目录各司其职——有的存放VBS发射器,有的托管混淆载荷,还有的负责完全不同的投递路径。
这种开放式目录设计不是偷懒,而是刻意为之。攻击者可以随时更换、增删托管的恶意程序,无需改动核心投递逻辑。即使某个载荷被安全厂商标记,其他链条仍能继续运转。
第三层:同一台服务器,同时跑XWorm和Remcos两种远控木马
调查人员在同一基础设施上确认了至少两种远程访问木马(RAT)的活跃部署。XWorm的多个变体以文本文件形式存放,Remcos RAT也在同一目录结构中现身。
更隐蔽的是另一条与伪造PDF相关的感染链,同样运行在这套基础设施上。多向量设计让攻击者能针对不同目标、不同场景选择最优投递方式,而不必为每次行动重建整套环境。
PhantomVAI本身的功能集相当完整。它会收集系统信息、截取屏幕、记录键盘输入,并能执行从远程服务器下发的任意命令。所有通信都经过加密,流量特征被刻意模糊以 blend in 正常网络活动。
这套攻击链最棘手的地方在于每个环节都"看起来正常":VBS脚本是常见的系统管理工具,PNG是再普通不过的图片格式,互联网档案馆更是人人信赖的公共资源库。
攻击者把恶意代码拆解成三个无害的零件,单独看每个都无法触发警报,串联起来却构成完整的入侵链条。这种模块化设计降低了单点暴露的风险,也让归因和追踪变得更加困难。
LevelBlue在报告中特别指出,开放目录的滥用正在成为趋势。相比需要精心维护的封闭服务器,公开可访问的目录提供了即插即用的灵活性,尤其适合需要频繁更换载荷的大规模运营。
对于依赖传统文件扫描和静态特征检测的安全团队来说,这种攻击模式提出了一个直接挑战:当恶意程序从不落地、从不以可识别形态出现时,防线该往哪里摆?
SentinelOne的端点防护在这次事件中起到了关键作用——它在VBS执行阶段就完成拦截,阻止了后续链条的展开。但这也依赖于对脚本行为的实时监控,而非事后文件分析。
攻击基础设施目前仍在活跃,news4me[.]xyz及其子目录持续托管着新的混淆载荷。安全厂商已将相关域名和文件哈希纳入威胁情报库,但攻击者显然预留了快速轮换的空间。
热门跟贴