不斷變化的Hworm遠端訪問工具又出新變體

安全研究人員發現了臭名昭著的hworm（又名njrat）的新版本，這種遠端訪問工具（rat）以主要攻擊中東地區組織而廣為人知。以色列的安全公司morphisec的研究人員稱，njrat採用了一種新的混淆技術來規避受害者計算機上安裝的安全軟體的檢測。

hworm / njrat於2023年首次出現，當時攻擊的是國際能源行業且主要針對中東地區。hworm / njrat很快被商品化，是變化最快的遠端訪問工具之一，其變體不斷被推出。研究人員目前發現的攻擊是網路釣魚活動的一部分——如果成功，hworm會讓攻擊者完全控制受害者的系統。

中國菜刀

hworm的攻擊行動分兩個階段進行，第一階段是在受害者系統商安裝混淆或編碼的vbs檔案。payload是乙個vbs檔案，在某些情況下，它會被混淆或編碼。

天空彩

第二階段主要是執行hworm，以接管受感染計算機。利用loader_data (runpe)將file_data注入到msbuild.exe，file_data是base64編碼的——對其進行解碼並不會得到任何資訊，因為還有一層編碼。

利用loader_data對其進行解碼後可以發現，file_data是乙個可移植的可執行檔案，用dot net編寫，檢視反編譯的源**可以看到hworm (njrat)配置。

研究人員表示威脅演員可能會使用hworm的變體進行大規模的網路釣魚攻擊，因為一旦成功，攻擊者就可以完全控制受害者的系統。

過去，利用hworm的網路攻擊主要針對中東地區的能源行業，但是此版本很可能會被用於攻擊其它國家/地區。