恶意软件

威胁行为者”AlphaGhoul“开始在暗网推广一款名为NtKiller的新型恶意工具，该工具旨在悄无声息地关闭杀毒软件和终端检测工具，可用于勒索软件攻击和初始访问代理。 该工具发布在一个地下论坛上，犯罪分子聚集在该暗网论坛买卖黑客服务。威胁行为者发布的广告称，NtKiller可以帮助攻击者在受感染的计算机上运行恶意软件时避免被杀毒软件及端点防御系统检测到。 NtKiller的出现对依赖传统安全工具的组织来说是一个重大挑战。 威胁行为者声称该工具可以对抗许多流行的安全解决方案，包括Microsoft Defender、ESET、Kaspersky、Bitdefender和Trend Micro。 更令人担忧的是，有说法称该恶意软件在激进模式下可以绕过企业级EDR解决方案。KrakenLabs分析师指出，该恶意软件能够利用早期启动持久化机制保持隐蔽，一旦激活，安全团队就很难检测和清除它。 KrakenLabs的研究人员发现，NtKiller采用模块化定价结构，核心功能定价为500美元，而rootkit功能和UAC绕过等附加功能则分别需要额外支付300美元。 🚨 New underground tool advertised: #NtKiller The threat actor #AlphaGhoul is promoting NtKiller, a utility designed to stealthily terminate antivirus and EDR solutions. The advertisement was published on an underground forum forum, positioning the tool as a defensive bypass… pic.twitter.com/1lbfw1bD0r — KrakenLabs (@KrakenLabs_Team) December 23, 2025 整个软件包定价为1100美元，这种定价模式表明，该工具已经过改进，可以面向网络犯罪分子群体进行商业销售。 该工具声称的功能不限于简单的进程终止，还包括支持高级规避技术，体现了当今地下恶意软件经济中常见的专业级开发和维护水平。安全研究人员指出，NtKiller的模块化设计和商业风格的呈现方式体现了网络犯罪工具日益复杂的趋势，模糊了渗透测试工具和恶意软件之间的界限。 NtKiller的技术能力高超 NtKiller所具备的技术能力使其在经验丰富的攻击者手中尤其危险。 卖家的描述声称，NtKiller可以静默地禁用Windows环境中的多层保护，包括那些采用Hypervisor保护的代码完整性（HVCI）、基于虚拟化的安全（VBS）和内存完整性加固的保护。 这些保护措施通常可以防止恶意或未签名的驱动程序执行，这使得所宣传的兼容性显得尤为重要。 该工具的早期启动持久化机制的工作原理是在系统启动期间建立自身，此时许多安全监控系统尚未完全激活。这种时间优势使得恶意载荷能够在检测能力极弱的环境中执行。 此外，反调试和反分析保护措施阻止研究人员和自动化工具检查恶意软件的行为，从而造成了对其实际功能与营销宣传之间存在重大的知识差距。 静默绕过用户帐户控制（UAC）选项是另一项关键技术特性。绕过UAC允许恶意软件在不触发标准Windows提示（这些提示可能会提醒用户注意可疑活动）的情况下获得更高的系统权限。结合rootkit功能，攻击者可以对受感染的系统保持持续访问，同时还能躲过标准安全监控。 KrakenLabs表示，NtKiller除了能够绕过安全系统的警报外，还支持虚拟机监控程序保护的代码完整性 （Hypervisor-Protected Code Integrity）、基于虚拟化的安全性（Virtualization-based Security）和内存完整性（Memory Integrity），这表明它可能被用于自带漏洞驱动程序（BYOV）攻击技术。

FIN7是一个源自俄罗斯的神秘而持久的以经济利益为目的的威胁组织，自2012年以来一直活跃，针对各个行业领域发起攻击，并在酒店、能源、金融、高科技和零售等行业造成了重大经济损失。 据观察，FIN7团伙在多个暗网论坛上使用多个假名，可能是为了宣传一种已知被Black Basta等勒索软件团伙使用的工具。 2022年5月19日，名为“goodsoft”的用户在暗网论坛exploit.in上发布了一款AV杀手工具的广告，起价为4000美元，该工具针对各种端点安全解决方案。后来，在2022年6月14日，名为“lefroggy”的用户在暗网论坛xss.is上发布了类似的广告，价格为 15,000 美元。一周后，即6月21日，名为“killerAV”的用户在暗网论坛RAMP上发布了类似的广告，价格为 8,000 美元。 网络安全公司SentinelOne在一份报告中表示：“AvNeutralizer（又名AuKill）是FIN7开发的用于篡改安全解决方案的高度专业化工具，已在地下犯罪市场销售，并被多个勒索软件团伙使用。” FIN7团伙自2012年以来一直是一个持续性的威胁，从最初针对销售点（PoS）终端的攻击转向充当REvil和Conti等现已解散的勒索软件团伙的附属机构，之后又推出了自己的勒索软件即服务（RaaS）项目 DarkSide 和 BlackMatter。 该威胁行为者还曾经取名为Carbanak、Carbon Spider、Gold Niagara和Sangria Tempest（以前称为Elbrus）等名称，曾设立Combi Security和Bastion Secure等幌子公司，以渗透测试为借口招募不知情的软件工程师参与勒索软件计划。 多年来，FIN7通过重组其恶意软件库——POWERTRASH、DICELOADER（又名IceBot、Lizar或Tirion）以及通过POWERTRASH加载器提供的渗透测试工具Core Impact，展示了高度的适应性、复杂性和技术专长，尽管其部分成员已被逮捕和判刑。 根据Silent Push最近发布的报告，该FIN7团伙通过部署数千个模仿合法媒体和技术企业的“shell”域名，开展大规模网络钓鱼活动来传播勒索软件和其他恶意软件家族，这证明了这一点。 另外，这些”shell“域名偶尔会在传统的重定向链中使用，将用户发送到伪装成物业管理门户网站的欺骗登录页面。 这些域名抢注版本会在Google等搜索引擎上做广告，诱骗搜索热门软件的用户下载带有恶意软件的版本。被攻击的工具包括7-Zip、PuTTY、AIMP、Notepad++、Advanced IP Scanner、AnyDesk、pgAdmin、AutoDesk、Bitwarden、Rest Proxy、Python、Sublime Text和Node.js。 值得注意的是，此前eSentire和Malwarebytes曾在2024年5月强调过FIN7使用恶意广告策略的情况，其攻击链导致了NetSupport RAT的部署。 SilentPush指出：“FIN7在多个主机上租用了大量专用IP，但主要租用在Stark Industries上，这是一家流行的防弹（bulletproof）主机托管服务提供商，与乌克兰和整个欧洲的DDoS攻击有关。” SentinelOne的最新发现表明，FIN7不仅在网络犯罪论坛上使用多个角色来促进AvNeutralizer的销售，而且还对该工具进行了改进，增加了新的功能。 这是基于这样一个事实：自2023年1月起，多个勒索软件团伙开始使用针对EDR程序的更新版本，而在此之前，该程序仅由Black Basta组织独家使用。 SentinelLabs研究员Antonio Cocomazzi称，在没有更多证据的情况下，不应将AvNeutralizer在暗网论坛上的广告视为FIN7采用的一种新的恶意软件即服务（MaaS）策略。 “FIN7一直致力于开发和使用复杂工具来开展自己的业务，”Cocomazzi说道。“然而，向其他网络犯罪分子出售工具可以看作是他们实现多样化和创造额外收入的方法的自然演变。” “从历史上看，FIN7一直利用暗网市场来获取收入。例如，美国司法部报告称，自2015年以来，FIN7成功窃取了超过1600万张支付卡的数据，其中许多都在暗网市场上出售。虽然这在勒索软件时代之前更为常见，但AvNeutralizer目前的广告可能预示着其战略的转变或扩张。” “这可能是因为与以前的反病毒系统相比，现在的EDR解决方案提供了越来越多的保护。随着这些防御能力的提高，对AvNeutralizer等减损工具的需求也大幅增长，尤其是勒索软件运营商。现在，攻击者在绕过这些保护措施方面面临着更严峻的挑战，这使得此类工具变得非常有价值和昂贵。” 就其本身而言，更新后的AvNeutralizer版本采用了反分析技术，最重要的是，它利用名为“ProcLaunchMon.sys”的Windows内置驱动程序与ProcessExplorer驱动程序结合来篡改安全解决方案的功能并逃避检测。据信，该工具自2022年4月以来一直在积极开发中。 Lazarus Group也使用了类似版本的方法，这使得该方法更加危险，因为它通过将Windows机器中默认存在的易受攻击的驱动程序武器化，超越了传统的自带易受攻击驱动程序(BYOVD)攻击。 另一个值得注意的更新涉及FIN7的Checkmarks平台，该平台已被修改为包含一个自动SQL注入攻击模块，用于利用面向公众的应用程序。 SentinelOne表示：“FIN7在其攻击活动中采用了自动攻击方法，通过自动SQL注入攻击瞄准面向公众的服务器。此外，它在暗网论坛中开发和商业化AvNeutralizer等专用工具，大大增强了该组织的影响力。”

Phorpiex恶意软件的操控者关闭了僵尸网络，并在其中一个暗网论坛上出售其源代码。该代码的售价为9000美元。 根据暗网网站上的帖子，出售的原因是恶意代码的原始作者不再参与该项目。 Check Point专家Aleksey Bukhteev证实了广告的准确性。据他介绍，Phorpiex控制服务器已经有两个多月没有活动了。服务器上一次收到删除自己的命令是在今年7月6日。从那时起，僵尸网络就从专家的视野中消失了。 “我们知道源代码是私人的，之前没有出售过，所以论坛上的这个公告看起来真的很可信。”布赫蒂耶夫在接受 The Record 记者采访时说。 专家警告说，虽然Phorpiex的C&C服务器目前处于非活动状态，但购买源代码的人将能够配置他们自己的服务端并访问受感染的设备。 “有很多受感染的机器 = 活跃的机器人。我们无法确切说出有多少，但我们不断观察到对我们网关的攻击。”专家说。 此外，机器人架构允许操控者通过欺骗加密货币钱包中的地址来被动地赚钱，即使没有主动的C&C服务器。 目前还不清楚是否有人已经购买了Phorpiex源代码。