CleverSoar是一种新型且隐蔽的恶意软件安装程序，主要针对中国和越南用户。该恶意软件引入了一种多层次的攻击方式，部署了先进的Winos4.0框架和Nidhogg根套件，这些工具促成了广泛的恶意活动，包括键盘记录、数据窃取、安全机制规避和隐秘的系统操控。CleverSoar的存在标志着这样一个长期的间谍行动，旨在进行数据提取和持续的监视。

该恶意软件最初于2024年11月被检测到，最早于2024年7月上传至VirusTotal，并通过.msi安装程序包传播，专门针对中国和越南用户。CleverSoar的安装程序会检查用户的语言设置，如果用户的驻留语言不是中文或越南语，则会终止安装，这表明该恶意软件是专门设计用于感染这些地区的用户，很可能伪装成合法软件或游戏。

通过部署Nidhogg根套件、Winos4.0框架和一个自定义后门，CleverSoar很可能通过伪装的.msi包到达目标系统，进而在Windows NT文件夹中投放安装程序（“Update.exe”）。该程序会验证管理员权限，并在需要的情况下利用“runas”来提高自身的权限。此外，CleverSoar还采用了一种独特的规避技术，在禁用安全解决方案的同时，确保仅中国或越南的系统受到感染。

该恶意软件实施了复杂的反虚拟机和反仿真检查，以逃避检测和分析，通过检索原生SMBIOS固件表以确定特定指标，例如‘QEMU’的存在。它还利用Windows API函数来评估Windows Defender的仿真器状态并确定操作系统版本。成功的规避使得该恶意软件能够进入到下一阶段的执行。

CleverSoar的安装程序增强了安全性，实施了多种反调试技术，并限制DLL注入到微软签名的二进制文件，这在一定程度上阻碍了依赖于用户层挂钩的安全解决方案的能力。该恶意软件使用时间基础的反调试检查，通过‘GetTickCount64’检查调试器的存在，最终，通过一个简单的‘IsDebuggerPresent’ API调用进一步加强对调试尝试的保护。

CleverSoar还采取了用户名称性能检查，通过将当前用户名称与已知的沙盒和测试用户名列表进行比较，以避开沙盒环境。如果用户名称与列表中任何一个吻合，该恶意软件将认为其在沙盒中运行，并终止其恶意活动。这种策略有助于该恶意软件在合法系统上执行其有效载荷，并且不被察觉。

此外，CleverSoar还通过创建注册表项、修改系统服务和终止安全进程，执行了一系列检查以规避检测并禁用安全措施。据Rapid7的报告，它安装了一种根套件以维持持久性，同时利用一个脆弱的Sysmon驱动程序来禁用安全软件，建立C2通信通道以进行进一步的恶意活动。

CleverSoar所展现出的高度复杂性和恶意意图，采用了多种技术隐藏其存在并实施其有效载荷。这一恶意软件攻击运动利用了先进的规避技术和定制恶意软件（Winos4.0, Nidhogg），目的在于针对中国和越南用户，可能是由一个复杂的威胁行为者精心策划的，旨在为间谍活动妥协系统。

这场攻击运动的多层次反检测措施及其潜在的更广泛针对性，对受影响地区的个人用户和组织构成了重大威胁。CleverSoar的出现再一次提醒我们，网络攻击手段在不断进化，网络安全防护措施必须随之加强，以保护他们的数据安全和隐私。各组织应及时采取有效机制以防范此类恶意软件，确保网络环境的安全性。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课