查看原文
其他

攻击者利用三个 RAT 监控乌克兰政府机构

Ionut Arghire 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队

ESET 公司的研究人员指出,攻击者利用三个不同的远程访问木马 (RAT) 监控乌克兰。

主要攻击政府机构

这些攻击显然始于2015年年末,但相关研究报告在2018年1月才发布。ESET 公司表示自从2017年中期就一直在追踪该攻击活动。攻击对象主要是政府机构,受害者达到数百人。

这次网络监控活动幕后的攻击者一直使用多个隐秘的 RAT 渗透敏感文档。这些 RAT 是 Quasar RAT、Sobaken RAT 和一个自定义 RAT 即 Vermin。

攻击者似乎缺乏高阶技能和访问 0day 漏洞的能力,他们使用邮件和社工传播恶意软件。某些包含 Word 文档的邮件试图利用于2017年4月修复的漏洞 CVE-2017-0199。

攻击者通常利用病毒释放器将最后的 payload(伪装成 Adobe、英特尔或微软的软件)传播至 %APPDATA% 文件夹并通过每隔10分钟执行的预定任务实现可持久性。Steganography 也被用于诱骗内容过滤。

为避免自动化分析系统和沙箱,恶意软件会检查系统是否安装了俄语或乌克兰语的键盘配置,如果未发现则会自我终止。它还检查系统的 IP 地址和机器上的用户名。另外,它还检查和随机生成的网站名称/URL 连接是否失败以确定是否是真正的系统。

三个远程 RAT

攻击者至少从2015年10月末开始就从 GitHub 上免费下载并使用了 Quasar RAT。其他黑客组织也在攻击中使用了这款恶意软件,包括 Gaza Cybergang (或称“Gaza 黑客组织”或 Molerats)。

Sobaken 是对 Quasar RAT 的大幅修改版本,不仅删除功能让可执行文件变得更小,而且还增加了多种反沙箱和其它规避技术。

Vermin RAT 是一款自定义后门,首次出现在2016年中期,现在仍在使用中。它用 .NET 编写而成,受 ConfuserEx 保护并使用免费的 Vitevic Assembly Embedder,将所要求的 DLL 嵌入主可执行文件中。

这款恶意软件支持截屏、读取目录内容、上传/下载/删除/重命名文件、监控和终止进程、执行 shell、运行键盘记录器、操纵文件夹、捕获音频和更新僵尸。

多数命令在主 payload 中实现,但该 RAT 还支持可选组件如音频记录器、键盘记录器、密码窃取器和 USB 文件窃取器。

ESET 公司表示,“和针对乌克兰高级别组织机构的攻击者相比,他们并未引发太多的公众注意。然而,这些攻击者证明,通过狡猾的社工技术,网络攻击就能够在不使用复杂恶意软件的前提下成功。这件事说明,除了提供高质量的安全解决方案外,还需要提升员工的网络安全意识。”




关联阅读

黑客通过虚假更新传播 NetSupport 管理器 RAT

全球数百家组织机构遭 Qrypter RAT 攻击


原文链接

https://www.securityweek.com/rats-bite-ukraine-ongoing-espionage-campaign



本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存