微軟揭露新的Nodersok無檔案攻擊行動

繼今年7月公布的Astaroth無檔案（fileless）攻擊行動之後，微軟本周再公布新一波的Nodersok無檔案攻擊，駭客同樣利用合法工具展開攻擊，目的是將受害系統變成代理人以執行點擊詐騙，估計已有數千台Windows電腦被纏上。

狡猾的無檔案攻擊使用各種離地攻擊（living-off-the-land）技術，藉由合法工具展開一連串的感染行動。

Nodersok的開端始於使用者藉由點選或瀏覽惡意廣告，而下載與執行一個HTML程式（HTA），藏匿在該HTA檔案的JavaScript程式碼，就會自C&C伺服器下載另一個JavaScript檔案，接著下載內含PowerShell指令但被加密的MP4檔案，解密後利用PowerShell指令，來下載可關閉Windows Defender Antivirus的模組與其它模組，最後留下的是能把受害電腦變成代理人、基於Node.JS框架的JavaScript模組。

微軟表示，Nodersok與Astaroth一樣，感染鏈的每個步驟都只在合法的工具上執行，不管是機器內建的mshta.exe與powershell.exe，或者是自第三方網站下載的node.exe及Windivert.dll/sys，而伴隨這些腳本程式或Shellcodes出現的功能，都是以加密的形式出現，之後再行解密，並只於記憶體內執行，並沒有任何惡意的執行程式被寫入硬碟。

假使去除Nodersok所借道的合法工具，那麼真正的惡意檔案只有一開始的HTA檔案、最後的JavaScript模組，以及大量的加密檔案。

微軟是在今年7月中發現Nodersok攻擊行動，因偵測到mshta.exe的使用出現異常而展開調查。Nodersok主要鎖定美國及歐洲的一般消費者，只有3%的受害者為特定組織內的成員。