Gh0st RAT和CloverPlus广告软件在双重载荷活动中部署

执行摘要

最近识别的恶意软件活动同时通过单一混淆加载器分发两种不同的有效载荷——Gh0st 远程访问木马（RAT）和 CloverPlus 广告软件。这种双重有效载荷策略为攻击者提供了从单一感染事件中获得持久、隐蔽的系统控制和货币化渠道。该活动的技术复杂性在于将高严重性的监视工具与以财务为动机的广告软件捆绑在一起，这增加了防御者的检测和补救难度。

技术分析

根据 CyberSecurity News 报告的分析，该活动使用统一的、混淆的加载器在受害者的机器上部署这两种威胁。加载器的主要功能是检索和执行两个独立的有效载荷。Gh0st RAT 是一个众所周知的恶意软件家族，以其为攻击者提供对受感染系统的完全远程控制而闻名，包括键盘记录、屏幕捕获和文件外泄。CloverPlus 是一个旨在通过强制显示不想要的广告、重定向网络流量和可能收集浏览数据来产生收入的广告软件程序。

该活动的技术重要性在于将两种通常分开的威胁模型——网络间谍和以财务为动机的广告软件——合并在一起。通过部署两者，威胁行为者确保即使一个组件被检测到并移除，另一个可能会持续存在，保持在系统上的立足点。源材料没有指定初始感染向量或加载器的具体混淆技术。

入侵指标

源材料中未识别出任何入侵指标。

战术、技术与程序

可用的源材料描述了使用单一混淆加载器交付双重有效载荷的核心 TTP（T1027 - 混淆文件或信息，T1204.002 - 用户执行：恶意文件）。该活动利用 Gh0st RAT 进行命令和控制（T1219 - 远程访问软件）和可能的持久性机制（T1547 - 启动或登录自动启动执行）。CloverPlus 广告软件组件表明了与浏览器操纵和欺诈性广告相关的技术（T1114 - 电子邮件收集，T1608 - 阶段能力）。该活动的具体交付机制、C2 基础设施和持久性方法在提供的源材料中没有详细说明。

威胁行为者背景

源材料没有将此次活动归因于已知的威胁行为者群体。通常与间谍活动和目标攻击相关的 RAT 与广谱广告软件的结合表明，可能存在行为者的融合或单一群体多样化其目标。动机似乎是混合的：建立长期访问权限以进行数据盗窃或进一步入侵，同时通过广告欺诈即时产生收入。

缓解措施与建议

组织应采用能够检测无文件和混淆恶意软件的分层防御。应配置端点检测和响应（EDR）解决方案以监控与远程访问工具和未经授权的进程注入相关的行为。还建议对异常的出站连接进行网络监控，这可能表明 Gh0st RAT 的 C2 通信。鉴于广告软件组件，用户教育避免可疑下载和强制应用允许列表可以降低初始感染风险。包括定期打补丁和最小权限原则在内的标准安全卫生措施仍然至关重要。