Kraken 无文件攻击技术利用 Microsoft Windows 错误报告（WER）

恶意软件研究人员Hossein Jazi和JérômeSegura已记录了一种名为Kraken的新无文件攻击技术，该技术利用Microsoft Windows错误报告（WER）服务。该黑客技术由一个身份不明的黑客组织采用，以避免被发现。

“9月17日，我们发现了一种称为Kraken的新攻击，该攻击将其有效载荷作为防御逃避机制注入了Windows错误报告（WER）服务。” 指出由Malwarebytes发布的博客文章。

“当与操作系统，Windows功能或应用程序相关的错误发生时，通常会调用该报告服务WerFault.exe。”

威胁参与者采用了反分析和规避技术，包括代码混淆和对沙箱或调试器环境进行一些检查。

使用Kraken技术的威胁者（可能是APT团体）发起了网络钓鱼攻击，该钓鱼攻击使用带有.ZIP文件附件的邮件。

名为“Compensation manual.doc”的.ZIP档案文件声称包含有关工人补偿权的信息。

打开文档后，将触发一个宏，恶意代码使用CactusTorch VBA模块的自定义版本执行无文件攻击。

与CactusTorch VBA不同，它指定了将宏中的有效载荷注入目标进程的目标进程，但此活动背后的威胁参与者修改了宏并在.Net有效载荷中指定了目标进程。

加载的有效载荷是内部命名为“Kraken.dll”的.Net DLL，并在2020-06-12上进行了编译。

该DLL用作将嵌入式Shellcode注入WerFault.exe的加载程序 。根据专家的说法，装载机有两个主要类别，分别是“ Kraken ”和“ Loader ”。

攻击链中的最后一个shellcode由一组指令组成，这些指令向硬编码域发出HTTP请求，以下载恶意有效负载并将其注入到进程中。

在分析时，恶意软件的硬编码目标URL无法访问，因此无法将Kraken技术归因于特定的威胁参与者。但是，Malwarebytes研究人员发现了与APT32的某些链接，APT32是与越南有联系的网络间谍组织。

APT32小组自2012年以来一直活跃，它的目标群体是多个行业的组织以及外国政府，持不同政见者和新闻工作者。

至少从2014年开始，FireEye的专家就观察到APT32的目标客户是对越南的制造业，消费品和酒店业感兴趣的外国公司。APT32还针对外围网络安全和技术基础设施公司以及可能与外国投资者有联系的安全公司。

Malwarebytes的报告包括危害指标（IoC）。