微軟發布針對新型RAT目標行業的警告
微軟安全情報部門發布了一系列推文,警告針對航空航天和旅遊業的新型惡意軟件傳播。該惡意軟件已被命名為RevengeRAT。
RAT或遠程訪問木馬是一種惡意軟件,它允許不良行為者獲得對受感染系統或網絡的相當大的控制權。 RAT通常包括一個後門組件,它使黑客能夠在受害系統上發送命令並執行代碼,同時盡可能長時間地保持未被檢測到的狀態。
新的RevengeRAT,也稱為AsyncRAT,主要使用魚叉式網絡釣魚電子郵件進行傳播。魚叉式網絡釣魚是一種發送惡意郵件的方法,可以屏蔽電子郵件,使其看起來好像是從受信任的源發送的,通常是收件人已經知道並信任的人。
與常規的網絡釣魚不同,在一般的網絡釣魚中,垃圾郵件活動中會發送電子郵件,而魚式網絡釣魚往往是一種針對性更窄的方法,側重於特定的業務,組織或實體。
傳播RevengeRAT的惡意電子郵件具有一個偽裝成Adobe PDF文件的附件,而實際上它是一個Visual Basic文件,裡面裝有惡意腳本。執行腳本後,它將部署RAT有效負載。附件中的惡意文件通常會濫用合法的Web服務,並包含指向Visual Basic腳本文件的鏈接。
微軟在推文中引用的安全公司Morphisec將在RevengeRAT部署中使用的加載程序命名為“ Snip3”。關於加載程序的一個奇怪事實是,如果加載程序發現正在Windows沙箱或另一個可用作捕獲惡意軟件的沙箱的虛擬機環境中執行該組件,它將完全跳過遠程訪問Trojan組件的部署。
RevengeRAT能夠提取登錄憑據,捕獲屏幕截圖並訪問網絡攝像頭並瀏覽剪貼板內容。
一旦將RAT部署到受害人的系統上,它就會使用動態託管站點與它的命令和控制服務器聯繫,然後濫用PowerShell和無文件方法從站點(例如Pastebin)上面向公眾的鏈接中獲取並部署另外三個有效負載。
微軟表示,在運行當前的RevengeRAT活動的不良行為者使用的魚叉式網絡釣魚電子郵件中使用的關鍵字和角度都向旅行和航空航天業的工人傾斜。
這些推文進一步指出,Microsoft的Defender可以檢測到此惡意軟件的單獨組件,並在攻擊的每個階段做出反應。