一种复杂的网络攻击已经出现，通过恶意冒充 DeskSoft 的合法 EarthTime 应用程序，在协调勒索软件行动中部署多个恶意软件家族，以组织为目标。

此次攻击代表了威胁行为者策略的令人担忧的演变，展示了如何将合法软件武器化以建立跨企业网络的持久访问。

当毫无戒心的用户下载并执行看似是 DeskSoft 的正版地球时间世界时钟实用程序时，入侵就开始了。然而，恶意可执行文件反而部署了 SectopRAT 恶意软件，建立了初始命令和控制通道。

这种欺骗性方法利用了用户对合法软件的熟悉程度，使得攻击在绕过初始安全意识措施方面特别有效。

该攻击展示了非凡的技术复杂性，威胁行为者部署了多个恶意软件系列，包括用于代理隧道的 SystemBC 和用于附加功能的 Betruger 后门。

DFIR 报告分析师确定了与三个主要勒索软件作（Play、RansomHub 和 DragonForce）的联系，这表明涉及跨多个勒索软件即服务平台运营的跨集团附属机构。

在最初的入侵之后，攻击者通过启动文件夹快捷方式建立持久性，并创建本地管理帐户以进行持续访问。

恶意软件链包括 AdFind、SharpHound 和 SoftPerfect NetScan 等侦察工具，可在横向移动活动开始之前实现全面的环境映射。

该攻击的主要横向移动机制严重依赖于远程桌面协议连接，并辅以 Impacket 的 wmiexec 实用程序。

这种组合使得攻击者能够通过SystemBC的代理功能，在保持运营安全的同时，穿越网段，有效地掩盖了其真实的网络来源。

高级持久性和规避机制

该恶意软件展示了复杂的防御规避技术，使检测和修复工作变得非常复杂。

初始EarthTime.exe可执行文件采用进程注入来破坏合法的 Windows 进程，特别是针对有效负载执行的MSBuild.exe。

这种技术允许恶意软件在受信任的 Microsoft 二进制文件的上下文中执行，从而可能规避依赖进程信誉的安全解决方案。

持久性机制通过使用 Windows 后台智能传输服务的多阶段方法运行。

该恶意软件将自身重新定位到 ，伪装成 Chrome 调试实用程序。C:\Users\<USER>\AppData\Roaming\QuickAgent2\ChromeAlt_dbg.exe

同时，它在 创建启动快捷方式，确保系统重新启动时执行的持久性。C:\Users\<USER>\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeAlt_dbg.lnk

该攻击结合了时间戳纵技术，自动修改文件创建时间戳，使取证分析复杂化。

研究人员观察到，GT_NET.exe二进制在生成的文件上将未来日期设置为 2037 年，这可能会破坏事件响应活动期间的时间线重建。

注册表修改针对 Windows Defender 的核心功能，系统地禁用实时扫描、行为监控和网络保护功能。

这些更改发生在 中的策略级别，确保系统范围的影响在重新启动后持续存在并影响所有用户帐户。HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\

该恶意软件使用元数据欺骗来冒充合法的安全产品，二进制文件包含引用 SentinelOne 和 Avast Antivirus 的伪造版本信息。

这种复杂的伪装技术旨在减少用户和自动化安全系统的怀疑，因为这些系统在日常作中可能会遇到恶意可执行文件。

数据外泄通过未加密的 FTP 连接发生，使网络监控解决方案能够捕获凭据并以明文形式传输详细信息，为调查类似攻击的事件响应团队提供有价值的情报。