DEAD#VAX 攻击活动利用 IPFS 和混淆技术传播 AsyncRAT

复杂的 DEAD#VAX 恶意软件攻击活动针对组织机构部署 AsyncRAT

安全研究人员近期发现了一起隐蔽的恶意软件攻击活动——DEAD#VAX，该活动结合了星际文件系统（IPFS）托管的 VHD 文件、高级脚本混淆技术以及内存执行等手段，旨在绕过传统安全防护并部署AsyncRAT（远程访问木马）。此次攻击展现了严谨的攻击手法，并滥用合法系统功能以逃避检测。

攻击链技术分析

DEAD#VAX 攻击活动采用多种逃避技术以规避检测：

• IPFS 托管恶意载荷：威胁行为者通过星际文件系统（IPFS）分发虚拟硬盘（VHD）文件，IPFS 是一个去中心化存储网络，增加了恶意内容的下架难度。
• 极端脚本混淆：攻击者使用高度混淆的脚本隐藏恶意代码，使静态分析变得困难。
• 运行时解密与内存执行：恶意软件组件在运行时解密并在内存中执行，避免基于磁盘的检测机制。
• AsyncRAT 部署：最终有效载荷为 AsyncRAT，这是一款广泛使用的开源远控木马，具备远程控制、数据窃取和持久化等功能。

影响与检测挑战

利用 IPFS 托管恶意文件给防御者带来了重大挑战，因为传统的基于域名的阻断方法无法奏效。此外，该攻击活动依赖内存执行和混淆技术，使终端检测与响应（EDR）解决方案更难识别恶意活动。

安全团队应监控以下可疑行为：

• 从 IPFS 网关下载异常的 VHD 文件
• 可疑的 PowerShell 或基于脚本的执行
• 与已知 AsyncRAT 命令与控制（C2）服务器的网络连接

缓解与响应建议

组织机构可通过以下措施降低风险：

• 限制 IPFS 网关访问：除非明确需要，否则应阻断或监控对已知 IPFS 网关的访问。
• 增强脚本监控：部署高级行为分析以检测混淆脚本和内存执行。
• 终端防护：确保 EDR/XDR 解决方案配置得当，能够检测 AsyncRAT 及类似远控木马。
• 用户意识培训：对员工进行钓鱼风险教育，特别是涉及非常规文件类型（如 VHD）的攻击。

研究人员仍在持续分析该攻击活动，以获取更多入侵指标（IOCs）。安全团队应密切关注新兴威胁，并及时调整防御策略。