威胁组织正在使用obliquerat发起针对政府目标的攻击-k8凯发天生赢家

威胁组织正在使用obliquerat发起针对政府目标的攻击
作者:zdnet 发布时间:2020-02-22

研究人员发现了一种新的远程访问特洛伊木马(rat),这似乎是专门针对政府和外交目标的威胁组织的一种攻击手段。

周四,思科talos的研究人员说,名为obliquerat的恶意软件正在针对东南亚目标的新攻击中进行部署。

最近的竞选活动于2020年1月开始,目前正在进行中。该计划背后的网络罪犯使用网络钓鱼电子邮件作为主要的攻击媒介,恶意的microsoft office文档附加在旨在部署rat的欺诈性电子邮件上。

附件具有比较正式的名称,例如company-terms.doc或dot_jd_gm.doc,这可能是“电信部门_职位描述_总经理”的简称。 

网络钓鱼电子邮件的主体中可能包含打开文件所需的凭据,如果受害者输入了密码并打开了文档,则恶意的vb脚本将立即生效,提取恶意二进制文件并删除可执行文件,该可执行文件充当obliquerat的删除程序。 

每次重新启动受感染的系统时,通过为可执行文件创建启动过程来维护持久性。 

talos认为rat是“简单的”,并且包含典型木马的核心功能,包括能够提取文件和系统数据以传输到命令和控制(c2)服务器的能力。下载和执行其他有效负载的功能,以及终止现有进程的能力。 

但是,一个有趣的功能是,恶意软件会查找特定目录,以获取其中的文件。目录名称c:\ programdata \ system \ dump是硬编码的。 

研究人员说:“ rat通过创建并检查一个名为oblique的互斥体来确保在任何给定时间内,受感染的端点上都只运行其进程的一个实例。”如果端点上已存在命名互斥体,则rat将停止执行,直到下次登录受感染的用户帐户。”

为了避免检测和逆向工程,该恶意软件还将检查系统的名称和信息,以了解pc被沙箱化的线索,例如使用用户名“ test”。

根据talos的说法,rat的传播方式与恶意文档中使用的vba脚本变量之间的相似之处表明,它可能与crimsonrat建立了潜在的联系,crimsonrat以前与同一地区的外交和政治组织的攻击有关。 

talos说:“该活动表明,威胁行为者进行了有针对性的恶意文档分发,类似于在crimsonrat分发中使用的恶意文档。” “但是,突出的是,参与者现在正在分发一个新的rats系列。尽管它在技术上并不复杂,但是obliquerat包含大量功能,可用于在受感染的端点上执行各种恶意活动。 ”


网站地图