ReverseRat,一种针对印度实体的巴基斯坦木马
印度和巴基斯坦之间的网络战仍在继续。这一次,一个不知名的巴基斯坦威胁参与者一直在使用一种名为 ReverseRat 的新型恶意软件来破坏印度电力公司的网络安全。这种新威胁通常与其他有效载荷结合使用,其主要目的似乎是数据窃取和侦察。虽然 ReverseRat 的功能不是很先进,但它包含了足够多的功能,允许其操作员在他们妥协的系统上执行各种任务。
ReverseRat 受雇于攻击印度电力公司
到目前为止,研究人员还无法确定犯罪分子用来传送植入物的确切方法,但他们很可能依赖电子邮件附件。如果用户最终与可疑电子邮件进行交互,则可能会提示他们下载文件附件或托管在外部站点上的文件。有问题的文件通常是 ZIP 存档,其中包含 LNK 或 PDF 文件。如果用户授予它们某些权限,这两个文件可以执行恶意代码。这些伪造文件的主题可能会有所不同,但犯罪分子似乎专注于能源部门的特定主题,或与 COVID-19 疫苗相关的主题。
ReverseRat 包含大量功能
在运行之前,ReverseRat 会收集一些关于它已经入侵的网络的基本信息——MAC 地址、IP 地址、硬件和软件配置以及计算机名称。运行后,它可以执行多项任务:
- 下载并启动可执行文件。
- 窃取文件。
- 运行一个新进程。
- 管理文件系统。
- 列出目录内容。
- 查看正在运行的进程并对其进行管理。
- 劫持剪贴板。
- 抓取屏幕截图。
ReverseRat 木马具有在内存中执行其某些组件的能力,因此最大限度地减少了它在受感染系统上留下的数据足迹。但是,它的攻击并非完全没有文件,信誉良好的防病毒产品应该很容易检测到这一点。