威胁组织正在使用ObliqueRAT发起针对政府目标的攻击

命令坞
命令坞
命令坞
95
文章
2
评论
2020-02-2315:10:28来源:安华金和 评论 316 967字

威胁组织正在使用ObliqueRAT发起针对政府目标的攻击

研究人员发现了一种新的远程访问特洛伊木马(RAT),这似乎是专门针对政府和外交目标的威胁组织的一种攻击手段。

周四,思科Talos的研究人员说,名为ObliqueRAT的恶意软件正在针对东南亚目标的新攻击中进行部署。

最近的竞选活动于2020年1月开始,目前正在进行中。该计划背后的网络罪犯使用网络钓鱼电子邮件作为主要的攻击媒介,恶意的Microsoft Office文档附加在旨在部署RAT的欺诈性电子邮件上。

附件具有比较正式的名称,例如Company-Terms.doc或DOT_JD_GM.doc,这可能是“电信部门_职位描述_总经理”的简称。

网络钓鱼电子邮件的主体中可能包含打开文件所需的凭据,如果受害者输入了密码并打开了文档,则恶意的VB脚本将立即生效,提取恶意二进制文件并删除可执行文件,该可执行文件充当ObliqueRAT的删除程序。

每次重新启动受感染的系统时,通过为可执行文件创建启动过程来维护持久性。

Talos认为RAT是“简单的”,并且包含典型木马的核心功能,包括能够提取文件和系统数据以传输到命令和控制(C2)服务器的能力。下载和执行其他有效负载的功能,以及终止现有进程的能力。

但是,一个有趣的功能是,恶意软件会查找特定目录,以获取其中的文件。目录名称C:\ ProgramData \ System \ Dump是硬编码的。

研究人员说:“ RAT通过创建并检查一个名为Oblique的互斥体来确保在任何给定时间内,受感染的端点上都只运行其进程的一个实例。”如果端点上已存在命名互斥体,则RAT将停止执行,直到下次登录受感染的用户帐户。”

为了避免检测和逆向工程,该恶意软件还将检查系统的名称和信息,以了解PC被沙箱化的线索,例如使用用户名“ test”。

根据Talos的说法,RAT的传播方式与恶意文档中使用的VBA脚本变量之间的相似之处表明,它可能与CrimsonRAT建立了潜在的联系,CrimsonRAT以前与同一地区的外交和政治组织的攻击有关。

Talos说:“该活动表明,威胁行为者进行了有针对性的恶意文档分发,类似于在CrimsonRAT分发中使用的恶意文档。” “但是,突出的是,参与者现在正在分发一个新的RATS系列。尽管它在技术上并不复杂,但是ObliqueRAT包含大量功能,可用于在受感染的端点上执行各种恶意活动。

命令坞
Linux Mint 20 发布前一窥 最新资讯

Linux Mint 20 发布前一窥

Ubuntu 20.04 LTS 版本发布了。这对 Linux Mint 用户来说也是一个好消息。一个新的 Ubuntu LTS 版本意味着新的 Linux Mint 主要版本也将很快随之出现。 为什...
现在你可以在 Windows 中运行 Linux 应用了 最新资讯

现在你可以在 Windows 中运行 Linux 应用了

微软最近的 “Build 2020” 开发者大会公布了一些有趣的公告。我不确定这该令人兴奋还是该令人怀疑 —— 但是微软,你现在比以往任何时候都受到我们的关注。 同时,在所有的这些公告中,能够在 WS...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: