在卡巴斯基实验室的一份详细报告中，“Horns&Hooves ”活动利用双重 RAT 有效载荷–NetSupport RAT 和 BurnsRAT–入侵了各行各业的系统，成为网络犯罪分子独创性的一个显著实例。该活动以苏联讽刺小说《金牛》（The Golden Calf）中虚构的欺诈组织命名，自 2023 年 3 月启动以来，主要针对俄罗斯的个人、零售商和服务企业。

恶意电子邮件附件的形式是 ZIP 档案，其中包含伪装成商业文件的 JScript 文件，如 “LLC <公司>的建议和价格请求 ”或 “采购请求……”。这些附件通常包含诱饵文档–有时是非常规的 PNG 图像，这是一种用于嵌入和发送有效载荷而不引起怀疑的策略。

PNG 格式的诱饵文档 | 图片： 卡巴斯基实验室

卡巴斯基实验室指出：“PNG 图像是一种方便的容器，因为即使添加了有效载荷，它们也能继续正确显示。”

该活动的主要有效载荷是合法的远程管理工具 NetSupport Manager (NSM)（已改名为 NetSupport RAT）和一个名为 BurnsRAT 的自定义变种。这些工具为攻击者提供了对被入侵系统的广泛控制，利用其固有的合法性逃避检测。

NetSupport RAT 因其多功能性而成为网络黑客的最爱，它是利用巧妙的感染链部署的。脚本下载 BAT 文件或 PowerShell 脚本，安装 NetSupport 组件（如 client32.exe），配置注册表项以实现持久性，并连接到命令控制服务器。报告指出：“当运行 NetSupport RAT 时，它会与攻击者的服务器建立连接。”

BurnsRAT是一种不太知名但同样危险的工具，在某些情况下与NetSupport RAT一起发布或代替NetSupport RAT发布。该变种利用 DLL 侧载技术劫持合法进程。其有效载荷包括用于远程桌面操作、数据窃取和勒索软件安装的实用程序。

“攻击者分发的 RMS 构建也被称为 BurnsRAT，”这突出表明它具有双重用途，既能促进远程访问，又能充当进一步攻击的发射台。

B 版感染链 | 图片： 卡巴斯基实验室

Horns&Hooves 活动展示了其感染链的适应性，随着时间的推移观察到多个版本的脚本。早期的迭代依赖于 HTA 文件，而后来的版本则采用了带有嵌入式有效载荷的 JScript。

耐人寻味的是，Horns&Hooves 活动与 TA569（又称 Mustard Tempest）的相关活动有相似之处。卡巴斯基实验室发现，Horns&Hooves 中使用的配置文件与之前归因于 TA569 的配置文件几乎完全相同，这加深了人们对共享来源的怀疑。

报告还说：“数值匹配这一事实表明，攻击者使用相同的安全密钥访问 NetSupport 客户端。”

Horns&Hooves 体现了利用合法工具达到恶意目的这一日益增长的趋势。通过将恶意软件伪装成可信软件，攻击者使检测和响应工作复杂化。

网络安全团队必须采取多层防御措施，包括强大的电子邮件过滤、软件行为分析和定期补丁管理。了解 Horns&Hooves 等活动对于应对不断变化的威胁至关重要。