Freeze.rs：新型攻击工具被广泛利用

关键要点

• Freeze.rs 是一种基于 Rust 的注入器，最初由 Optive 创建作为开源红队工具。
• 该工具目前被威胁行为者用来传播一种名为 XWorm 的恶意软件。
• 攻击链始于包含恶意 PDF 文件的网络钓鱼邮件。
• Freeze.rs 采用多种策略来规避用户空间端点检测和响应（EDR）。
• SYK Crypter 被用于传播 Remcos RAT，同时也支援多种恶意软件家族的交付。

近日，Fortinet FortiGuard Labs 报告指出，名为 Freeze.rs 的 Rust 基注入器，最初由 Optive开发作为开源红队工具，现正被威胁行为者利用，以传播一种称为 XWorm 的商品恶意软件。这个新的攻击链从一封带有恶意 PDF文件的网络钓鱼邮件开始。Freeze.rs 据称使用多种策略，不仅可以移除用户空间端点检测与响应（EDR）挂钩，还能以影响其他端点监控控制的方式执行 shellcode。

“SYK Crypter 是一种知名的工具，能够持续存在，具有多重混淆层，并采用多态性来保持其避开安全解决方案侦测的能力。” Morphisec 研究员 Hido Cohen 如是说。该工具被用于交付多种恶意软件家族，包括 RedLine Stealer、NanoCore RAT、AsyncRAT、QuasarRAT、njRAT 以及 Warzone RAT。

通过这种攻击链，威胁行为者能够影响多个安全控制，增加了其恶意活动的隐蔽性和持续性。因此，对于个人和企业来说，增强网络安全意识和防护措施显得尤为重要。