PY#RATION RAT 使用独特的 C2 方法

早在 2022 年 8 月，安全研究人员就发现了一种使用基于 Python 的远程访问木马 (RAT) 的新网络攻击。据 Securonix 称，这种名为 PY#RATION 的恶意软件是独一无二的，它使用 WebSockets 进行命令和控制通信和数据泄露。

用于此攻击的网络钓鱼电子邮件包含 ZIP 存档，其中包含两个伪装成英国驾照图像的 .LNK 文件。当打开每个链接时，两个文本文件会从远程服务器下载并重命名为 .BAT 文件，同时在后台执行并显示假图像。

此外，从 C2 服务器检索另一个批处理脚本以下载其他有效负载，例如 CortanaAssistance.exe，它用于尝试将恶意软件伪装成系统文件。该木马的两个版本（1.0 和 1.6）已被识别，新版本中添加了近 1000 行代码以支持网络扫描功能和使用 Fernet 模块的加密。这些功能包括传输文件、记录击键、执行系统命令、从网络浏览器中提取密码/cookie、捕获剪贴板数据和检查是否存在防病毒软件。

这也是部署其他恶意软件的途径，例如旨在从网络浏览器和加密货币钱包获取信息的信息窃取程序。尽管威胁行为者的来源仍然未知，但据信，根据网络钓鱼诱饵判断，预期目标可能位于英国或北美。

PY#RATION 等恶意软件用来破坏系统的后门是什么？

后门是允许攻击者在用户不知情或未经许可的情况下访问系统的恶意程序。像 PY#RATION 这样的恶意软件通常使用后门通过利用操作系统、应用程序或网络协议中的漏洞来破坏系统。

常见的后门技术包括使用远程桌面协议 (RDP) 等远程访问工具、创建具有管理权限的隐藏帐户以及使用恶意脚本在目标机器上执行命令。后门也可用于绕过身份验证机制并获得对敏感数据的访问权限。此外，后门可用于在受感染的系统上安装其他恶意软件，从而使攻击者能够进一步扩大对受害者机器的控制。

为什么像 PY#RATION 这样的远程访问木马对任何受害者来说都是一个主要的安全问题？

像 PY#RATION 这样的远程访问木马对任何受害者来说都是一个主要的安全问题，因为它们允许攻击者在用户不知情或未经许可的情况下访问系统。这种类型的恶意软件可以利用操作系统、应用程序或网络协议中的漏洞来绕过身份验证机制并获得对敏感数据的访问权限。

此外，后门可用于在受感染的系统上安装其他恶意软件，从而使攻击者能够进一步扩大对受害者机器的控制。这意味着攻击者可能会完全控制受害者的计算机，包括访问密码和财务数据等个人信息。此外，远程访问木马可用于对其他系统或网络发起分布式拒绝服务（DDoS）攻击，使它们更加危险。

因此，对于用户来说，重要的是采取措施保护自己免受这些类型的威胁，方法是使用强密码并使用最新的安全补丁使他们的系统保持最新状态。