微软发布针对新型RAT目标行业的警告
Microsoft安全情报部门发布了一系列推文,警告针对航空航天和旅游业的新型恶意软件传播。该恶意软件已被命名为RevengeRAT。
RAT或远程访问木马是一种恶意软件,它允许不良行为者获得对受感染系统或网络的相当大的控制权。 RAT通常包括一个后门组件,该组件使黑客能够在受害系统上发送命令并执行代码,同时尽可能长时间不被检测到。
新的RevengeRAT,也称为AsyncRAT,主要使用鱼叉式网络钓鱼电子邮件进行传播。鱼叉式网络钓鱼是一种发送恶意邮件的方法,可以屏蔽电子邮件,使其看起来好像是从受信任的源发送的,通常是收件人已经知道并信任的人。
与常规的网络钓鱼不同,在一般的网络钓鱼中,垃圾邮件活动中会发送电子邮件,而鱼式网络钓鱼往往是一种针对性更窄的方法,侧重于特定的业务,组织或实体。
传播RevengeRAT的恶意电子邮件具有一个伪装成Adobe PDF文件的附件,而实际上它是一个Visual Basic文件,里面装有恶意脚本。执行脚本后,它将部署RAT有效负载。附件中的恶意文件通常会滥用合法的Web服务,并包含指向Visual Basic脚本文件的链接。
微软在推文中引用的安全公司Morphisec将在RevengeRAT部署中使用的加载程序命名为“ Snip3”。关于加载程序的一个奇怪事实是,如果加载程序发现正在Windows沙箱或另一个可用作捕获恶意软件的沙箱的虚拟机环境中执行该组件,它将完全跳过远程访问Trojan组件的部署。
RevengeRAT能够提取登录凭据,捕获屏幕截图并访问网络摄像头并浏览剪贴板内容。
一旦将RAT部署到受害人的系统上,它就会使用动态托管站点与它的命令和控制服务器联系,然后滥用PowerShell和无文件方法从站点(如Pastebin)上面向公众的链接中获取并部署另外三个有效负载。
微软表示,在运行当前的RevengeRAT活动的不良行为者使用的鱼叉式网络钓鱼电子邮件中使用的关键字和角度都向旅行和航空航天业的工人倾斜。
这些推文进一步指出,Microsoft的Defender可以检测到此恶意软件的独立组件,并在攻击的每个阶段做出反应。