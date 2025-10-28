2025 年 8 月至 10 月，IBM X-Force 观察到几封电子邮件，它们可能是针对哥伦比亚讲西班牙语的个人，而其主题则与哥伦比亚司法部长办公室相关。这些电子邮件诱使用户从司法信息系统下载“官方文件”，从而启动旨在执行 Hijackloader 可执行文件的感染链，并最终触发 PureHVNC 远程访问木马 (RAT)。
2025 年 8 月至 10 月，X-Force 观察到几封电子邮件，而它们针对的是可能居住在哥伦比亚的用户；这些电子邮件会模仿哥伦比亚司法部长办公室，并附有官方文件下载。这些电子邮件旨在利用 Hijackloader 来投放多个有效负载，其中包括 PureHVNC。HijackLoader 自身尚未在针对拉丁美洲 (LATAM) 用户的行动中广泛使用；而且之前，X-Force 未观察到任何以 LATAM 用户为目标来投放 PureHVNC 的行动。2024 年，HijackLoader 被用于在针对 CrowdStrike 客户的行动中加载 RemcosRAT（根据西班牙文文件名和说明），而这些客户可能来自 LATAM 国家或地区。PureHVNC RAT 的投放很有趣，因为 X-Force 之前没有观察到任何向西班牙语用户投放 PureHVNC 的行动。PureHVNC RAT 是 PureCoder 销售的一系列工具之一。这些恶意工具可在地下论坛以及 Telegram 的暗网上出售。
用户会收到一封电子邮件，其中声称是与哥伦比亚司法部长办公室有关的官方信函。此电子邮件称，一名前员工已提起诉讼，且正在等待劳工法庭的处理。此电子邮件的附件是一个 SVG 文件，而受害者在 Google 云端硬盘中打开了该文件。大多数情况下，文档预览均可见，且点击“下载”按钮即可下载。有一次，受害者看到一个“无法预览文件”的提示和一个下载按钮，而按下该按钮可在 Google 云端硬盘中打开该文件。无论如何，在 Google 云端硬盘中，单击此文档上的任意位置均可下载一个 ZIP 存档文件，且现在会向受害者显示一个“下载完成”页面，其中包含“KC4SX87”一类的密码。此 ZIP 文件包含多个附加文件，而其中一个是一个可执行文件；用户点击此文件后需输入密码才能执行它。点击 EXE 文件将启动感染链，而 Hijackloader 被用于部署多个不同的有效负载，其中包括 PureHVNC。
恶意软件第 1 阶段：DLL 侧载
Hijackloader 使用一种名为 DLL 侧载的技术，而它会滥用 Windows 用于查找所需程序库的搜索顺序来执行恶意 DLL。Hijackloader 使用合法的 javaw.exe 文件，而该文件已重命名为以司法为主题的名称 (02 BOLETA FISCAL.exe)。由于 javaw.exe 的依赖关系之一是 JLI.dll，Hijackloader 会在同一目录中放置 JLI.dll 的修改版本。当重命名的 javaw.exe 启动时，操作系统也会从本地目录加载恶意 DLL。
恶意 JLI.dll 的主要功能是加载第二阶段有效负载 MSTH7EN.dll。它会通过调用 LoadLibraryW() API 来实现此目的，而该 API 会将 MSTH7EN.dll 加载到进程的地址空间。此 API 调用会返回新近加载的 DLL 的地址。然后，它会将该地址添加到特定偏移量中，以计算 MSTH7EN.dll 中恶意代码的入口点。
恶意软件第 2 阶段：加载阶段
第二阶段有效负载始于初始化。为规避检测，它会动态加载并解析所有必要的库和 API。完成后，它会验证当前工作目录是否与 Hijackloader 的位置相匹配，从而确保能正确引用和加载第三阶段有效负载。
第三阶段有效负载包含具有以下组件的加密恶意软件配置：
解密后，恶意软件配置会包含信息，例如：
然后，会将 shellcode 加载到 vssapi.dll 中，即恶意软件配置中指定的 DLL。此操作是通过调用 VirtualProtect() 以将 .text 部分的内存保护更改为 PAGE_EXECUTE_READWRITE 来实现的。最后，会将 shellcode 复制到此可写地址，并将执行流程转移到该地址。
shellcode 将充当加载器，但首先，它会对系统中正在运行的进程名称进行哈希处理，并将其与恶意软件配置中指定的值进行比较。如果找到匹配项，恶意软件会使用 NtDelayExecution() API 来暂停自身的执行。
接下来，它会读取 Plagkeg.zk 的内容。该文件的内容是另一个加密后的恶意软件配置以及 HiJackLoader 的模块。此数据将拆分为多个区块，且初始区块包含以下信息：
后续区块遵循以下结构：
为了组装这些区块，HijackLoader 会循环访问用于搜索“????IDAT”模式的加密后的数据，而其中的问号将充当通配符。找到匹配项后，它会检查紧随此模式之后的四个字节是否等于 0xC6A579EA。此操作可确认初始区块已找到，而这一点非常重要，因为它包含 shellcode 的总大小和解密密钥。如果该值匹配，HijackLoader 便会将 shellcode 字节存储到缓冲区中。此流程将对所有后续区块重复执行，而其 shellcode 字节将附加到同一缓冲区，直至找不到更多匹配的模式。
完成后，会使用 XOR 密码对包含加密 shellcode 的缓冲区进行解密，然后使用 LZNT1 算法进行解压缩。如此便可形成一个包含各种信息的结构，例如最终有效负载、模块结构等。
恶意软件第 3 阶段：ti64 - 主模块
HijackLoader 的功能会划分为多个模块。有些模块包含可执行代码，而另一些则仅用作参考信息。其中一个示例是 COPYLIST 模块，其中包含与该 HijackLoader 变体相关的文件名的列表。根据 Trellix 的报告，HijackLoader 的某些变体支持多达 40 个模块，但本报告分析的样本仅支持 35 个。并非所有模块都会执行，而它们的使用取决于恶意软件配置中指定的标志。
下表总结了每个模块的名称及其用途：
HijackLoader 会对这些结构进行循环，并使用自定义算法将每个模块名称转换为哈希值。一旦找到与“ti64”模块匹配的模块，它就会将此数据的偏移量加到模块数据数组的基数上，从而计算出指向模块代码的指针。然后，会返回此指针并将其用作对“ti64”shellcode 的引用。
接下来，恶意软件会执行另一个 DLL 空化操作，以注入“ti64”模块的 shellcode。其目标是先前已解密配置中指定的 DLL，而它在本例中为 pla.dll。
模块名称
哈希值
用途
AVDATA
0x78B783CA
包含与安全产品相关的进程的哈希值
ESAL
0x757C9405
清理 HijackLoader 的内存数据，并执行最终的有效负载
ESLDR
0xE7794E15
用于注入和执行与 HijackLoader 相关的 shellcode
ESWR
0x93EB1CB1
清除 shellcode 数据并执行 rshell 模块
FIXED
0x699D0C82
用于将代码注入其进程的合法 PE 文件
LauncherLdr64
0xF4F141C2
解密存储在磁盘上的配置文件
modCreateProcess
0x696F778F
用于执行文件
modTask
0x3115355E
使用计划任务创建暂留
modUAC
0xC64EBFDA
用于权限升级
modWriteFile
0xFCE82FC1
处理磁盘上的文件创建
rshell
rshell64
0x74984889
执行最终的有效负载
ti
ti64
0x3EE477F1
用作执行所有其他模块的主要 shellcode
TinyCallProxy
0x455CBBC3
作为代理来执行 API 调用
tinystub
0x4EACE798
包含虚拟可执行文件，而此文件可用于在最终有效负载执行期间进行修补
tinyutilitymodule.dll
0xA1D724FC
用空字节覆盖指定文件的 PE 标头
SM
0xD8222145
包含在调用堆栈欺骗或 shellcode 注入中使用的系统 DLL 的名称
COPYLIST
0x1AE7700A
要复制或删除的文件名的列表
CUSTOMINIJECT
0x6703F815
包含合法的可执行文件，而该文件可用于将代码注入其进程内存。该进程会在 CUSTOMINJECTPATH 模块指定的自定义路径中创建
CUSTOMINIJECTPATH
0x192A4446
包含用于在 CUSTOMINJECT 模块中创建此合法文件的文件路径
X64L
0xCB5B9F3F
注入到进程中以充当注入代理的模块
WDUACDATA
0x4D75088D
包含用于通过 cmd 来执行命令的字符串
WDDATA
0xB718A6AE
包含一个 PowerShell 命令，以用于添加 Windows Defender 防病毒软件排除项
PERSDATA
0xA2E0AB5D
包含 modTask 模块用于创建计划任务的配置
MUTEX
0x1999709F
包含要检查的互斥锁的名称
ModUAC 模块，它与其他模块类似，且会使用 TinycallProxy 来调用 API。如果 UACDATA 模块的第一个 DWORD 为 2，它则会使用“runas”来提升其权限。否则，它将使用 CMSTPLUA COM 接口来绕过 UAC。
在某些变体中，HijackLoader 会使用一种名为“堆栈欺骗”的技术来掩盖 API 与系统调用的来源。它会通过使用基准指针寄存器 (EBP) 在堆栈中进行遍历，以便按 EBP 指针链从每个堆栈帧检索返回地址来实现此目的。如果返回地址不在 ntdll.dll 或 kernelbase.dll 的 .text 部分，HijackLoader 则会将其存储以供日后使用。此过程会重复，直至达到堆栈限制或在这些系统库中找到三个连续的返回地址。
接下来，它会通过用虚假返回地址覆盖已保存的合法返回地址来执行调用堆栈欺骗。每个伪地址都是通过从 SM 模块指定的 DLL（在本例中为 dcd9.dll）选择一个随机导出并添加一个随机偏移量来生成的，从而确保最终指针落在该模块 .text 部分的范围内。然后，使用 Heaven's Gate 执行系统调用。调用完成后，系统会立即恢复原始堆栈地址。
然而，较新的变体采用了不同的技术。HijackLoader 不会进行堆栈欺骗，而是通过 LoadLibraryW() 加载 SM 模块指定的目标 DLL。然后，它会将此代码从该 DLL 内的某一随机偏移量保存到临时缓冲区，并将其替换为 TinyCallProxy64 模块的 shellcode，而该 shellcode 旨在调用指定的 API。调用完成后，便会立即恢复原始的干净代码。
HijackLoader 会对部分函数使用这些技术，而这些函数可能会被防病毒软件监控，如 ZwProtectVirtualMemory 和 ZwGetContextThread。
技术
说明
基于时间的反调试检查
通过测量 cpuid 指令的延迟来使用基于计时的规避技术。它会将 cpuid 调用与 rdtsc 指令封装在一个循环内；而如果执行时间超过指定阈值，则会检测调试器或虚拟机是否存在。
虚拟机监控程序检查
通过执行 cpuid 指令并检查返回 ECX 寄存器中的“虚拟机监控程序位”（位 31）来执行标准的反虚拟机检查。如果该位被设为 1，则表示存在虚拟机监控程序。
供应商 ID 检查
通过查询虚拟机监控程序信息叶 (0x40000000) 来执行反虚拟机检查。EAX 中的返回值大于或等于 0x40000000 表示存在活动的特定于虚拟机监控程序的 CPUID 叶节点。
检查总 RAM 容量
通过查询总物理 RAM 来执行反沙盒检查。它会调用 NtQuerySystemInformation 以计算以 GB 为单位的总内存（通过将字节计数右移 30），而如果结果小于 4 GB，则终止。
检查处理器数量
通过查询 CPU 核心数来执行反沙盒检查。它会调用 NtQuerySystemInformation 来获取 numberofprocessors 并将其与 ANTIVM 模块配置中指定的值进行比较。
用户名检查
将当前用户的用户名与 ANTIVM 模块中的指定值进行比较。
计算机名称检查
检查计算机名称是否仅包含数字。
检查当前工作目录
检查当前模块路径是否位于桌面上。
失败的反虚拟化检查结果会导致通过调用 ZwTerminateProcess() 来终止进程。
解钩例程会将当前加载的 ntdll.dll 的 .text 部分与干净的映射副本进行比较。它会扫描是否存在调用 (0xE8) 与 jmp (0xE9) 指令；如果两个版本的指令类型或目标地址不同，则会检测挂钩。如果找到挂钩，恶意软件则会通过恢复原始的干净字节来修补内存内 ntdll.dll。
HijackLoader 的暂留机制也由其配置控制。该行为由某一标志决定：
除这些标志之外，HijackLoader 还可通过检查是否存在 PERSDATA 模块来创建另一种暂留机制。该模块包含创建第二个计划任务所需的配置数据，例如任务名称。
注入类型
说明
如果要注入的文件为 DLL 文件或是注入标志小于 0x3
最终有效负载则会在同一进程下执行，因此 DLL 有效负载将映射到空心 DLL 中。
如果最终有效负载不是 .NET/CLR 文件，则注入标志 0x20 为 false，而 0x80 为 true
使用回滚 NTFS 事务将 rshell 有效负载隐藏在虚拟 tinystub PE 中。然后，它会将此隐藏 PE 映射到挂起进程 (FIXED)，而其中的 ESWR 模块会劫持主线程的上下文以执行 rshell 代码。
如果最终有效负载不是 .NET/CLR 文件，则注入标志 0x20 和 0x80 均为 false
FIXED 模块会写入磁盘并创建为挂起进程。ESWR 模块随后会用于触发在 FIXED 进程内执行 rshell 有效负载。
注入标志 0x100 将设为 true，0x20 则设为 false
将 rshell 注入到已挂起的合法系统可执行文件（例如 MSBuild.exe）中。通过解析 .NET 标头来获取 CLR 路径。有效负载在执行前会通过线程上下文劫持功能在内存中进行修补，并清除自身的 PE 标头。
注入标志 0x4 和 0x80 均为 true。
有条件地删除 FIXED模块，然后将 rshell 有效负载存储到回滚事务处理文件 (tinystub) 中。它会通过部分映射功能将此注入到已挂起的 FIXED 进程中。执行会通过线程上下文劫持功能触发，然后可选择地擦除其 PE 标头。
注入标志 0x4 为 true，0x80 则为 false。
HijackLoader 会启动一个挂起的进程，直接在其中创建并映射一个新的内存部分，然后将已修补的 rshell 模块写入此部分。执行会通过劫持主线程的上下文以运行 rshell 代码来触发。
注入标志 0x4 为 false，0x10 则为 true。
通过启动其 FIXED 模块、擦除其主内存部分，然后在有效负载中进行复制来执行进程空化。它会在两个单独的调用中写入“MZ”标头。最后，它会注入已修补的 rshell模块、修改 PEB，并选择性地擦除有效负载的 PE 标头。
将注入类型设为 4
通过部分映射功能注入主有效负载和 rshell 模块。系统会创建一个部分，并使用修补后的 rshell 和有效负载在本地进行填充，然后映射到挂起的目标进程（系统原生二进制或 CUSTOMINIJECT 模块）。执行将通过劫持主线程的上下文以指向 rshell 入口点来触发。
LATAM 地区的用户越来越多地成为冒充政府或司法实体的电子邮件的目标，而其主题往往会营造一种紧迫感。X-Force 观察的活动通常会涉及将受害者引导到恶意下载程序的嵌入式链接或 ZIP 附件。2025 年 8 月至 10 月，X-Force 观察到几封电子邮件，而它们针对的是可能居住在哥伦比亚的用户；这些电子邮件会模仿哥伦比亚司法部长办公室，并附有官方文件下载。HijackLoader 是一款模块化的恶意软件，它具有规避与暂留机制，并主要以 ZIP 或 RAR 归档文件的形式投送给用户。这些归档包含一个恶意 DLL，而该 DLL 会进行侧载并用于投送额外的有效负载。这些电子邮件可能是单个行动的一部分且非常重要，因为参与者会利用 HijackLoader 来投送 PureHVNC RAT，而这是 X-Force 以前未观察到的组合。
指示符
指标类型
情境化
troquelesmyj[@]gmail.com
电子邮件
发件人电子邮件
nuevos777[.]duckdns[.]org
域
C2 域
7octubredc[.]duckdns[.]org
域
C2 域
dckis13[.]duckdns[.]org
域
C2 域
dckis7[.]duckdns[.]org
域
C2 域
enviopago[.]mysynology[.]net
域
C2 域
maximo26[.]duckdns[.]org
域
C2 域
sofiavergara[.]duckdns[.]org
域
C2 域
hxxps[:]//drive[.]google[.]com
URL
SVG 主机
hxxps[:]//drive[.]google[.]com/
URL
SVG 主机
e7120d45ee357f30cb602c0d93
SHA256
ZIP
7e64102405459192813541448c8
SHA256
RAR
14becb3a9663128543e1868d09
SHA256
HijackLoader
57c49cff3e71bc75641c78a5a72d
SHA256
HijackLoader
7c3d9ad3f1bd890e3552dc6709
SHA256
HijackLoader
ce42377d3d26853fd1718f69341
SHA256
HijackLoader
a0e4979b4e4a706286438d48f
SHA256
HijackLoader
6d93a486e077858b75eb814e
SHA256
HijackLoader
bdca9849d7263d508b7ed4db
SHA256
HijackLoader
1ae61edf35127264d329b7c0e2
SHA256
HijackLoader
2ec31a8a36d73fa8354a7ac0c
SHA256
HijackLoader
776bbaa44c7788e0ccd5945
SHA256
HijackLoader
9e9997b54da0c633ffcf0a4fb
SHA256
HijackLoader
b2f733b67f1ef06d9e5ce76d3
SHA256
HijackLoader
c93e70d20ba2948a6a8a013
SHA256
HijackLoader
d550a2a327394148c0c3d05
SHA256
HijackLoader
e668ca17fcdfa818aac35f1206
SHA256
HijackLoader
fe6d0ee45a70359008b2916
SHA256
HijackLoader
977f2f18ff13c93406c5702f83
SHA256
HijackLoader
768ca38878c5bb15650343ce
SHA256
HijackLoader
47245b7d2d8cb6b92308deb
SHA256
HijackLoader
4484b0ac51536890301a0e6
SHA256
HijackLoader
0113d9f3d93069a29458b3b4
SHA256
HijackLoader
22d474e729d600dcd84ce139
SHA256
HijackLoader
2cbfc482e27a2240a48d2fb6f
SHA256
HijackLoader
96ee786c5b6167c0f0f770efba
SHA256
HijackLoader
33d0c63777882c9ec514be06
SHA256
PureHVNC
afecefa6d9bd1e6d1c9214420
SHA256
PureHVNC
85641c8fb94e8e4c5202152dc
SHA256
PureHVNC
1bf3a1cf9bc7eded0b8994d44
SHA256
PureHVNC
