PY#RATION RAT 使用獨特的 C2 方法

早在 2022 年 8 月，安全研究人員就發現了一種使用基於 Python 的遠程訪問木馬 (RAT) 的新網絡攻擊。據 Securonix 稱，這種名為 PY#RATION 的惡意軟件是獨一無二的，它使用 WebSockets 進行命令和控制通信和數據洩露。

用於此攻擊的網絡釣魚電子郵件包含 ZIP 存檔，其中包含兩個偽裝成英國駕照圖像的 .LNK 文件。當打開每個鏈接時，兩個文本文件會從遠程服務器下載並重命名為 .BAT 文件，同時在後台執行並顯示假圖像。

此外，從 C2 服務器檢索另一個批處理腳本以下載其他有效負載，例如 CortanaAssistance.exe，它用於嘗試將惡意軟件偽裝成系統文件。該木馬的兩個版本（1.0 和 1.6）已被識別，新版本中添加了近 1000 行代碼以支持網絡掃描功能和使用 Fernet 模塊的加密。這些功能包括傳輸文件、記錄擊鍵、執行系統命令、從網絡瀏覽器中提取密碼/cookie、捕獲剪貼板數據和檢查是否存在防病毒軟件。

這也是部署其他惡意軟件的途徑，例如旨在從網絡瀏覽器和加密貨幣錢包獲取信息的信息竊取程序。儘管威脅行為者的來源仍然未知，但據信，根據網絡釣魚誘餌判斷，預期目標可能位於英國或北美。

PY#RATION 等惡意軟件用來破壞系統的後門是什麼？

後門是允許攻擊者在用戶不知情或未經許可的情況下訪問系統的惡意程序。像 PY#RATION 這樣的惡意軟件通常使用後門通過利用操作系統、應用程序或網絡協議中的漏洞來破壞系統。

常見的後門技術包括使用遠程桌面協議 (RDP) 等遠程訪問工具、創建具有管理權限的隱藏帳戶以及使用惡意腳本在目標機器上執行命令。後門也可用於繞過身份驗證機制並獲得對敏感數據的訪問權限。此外，後門可用於在受感染的系統上安裝其他惡意軟件，從而使攻擊者能夠進一步擴大對受害者機器的控制。

為什麼像 PY#RATION 這樣的遠程訪問木馬對任何受害者來說都是一個主要的安全問題？

像 PY#RATION 這樣的遠程訪問木馬對於任何受害者來說都是一個主要的安全問題，因為它們允許攻擊者在用戶不知情或未經許可的情況下訪問系統。這種類型的惡意軟件可以利用操作系統、應用程序或網絡協議中的漏洞來繞過身份驗證機制並獲得對敏感數據的訪問權限。

此外，後門可用於在受感染的系統上安裝其他惡意軟件，從而使攻擊者能夠進一步擴大對受害者機器的控制。這意味著攻擊者可能會完全控制受害者的計算機，包括訪問密碼和財務數據等個人信息。此外，遠程訪問木馬可用於對其他系統或網絡發起分佈式拒絕服務（DDoS）攻擊，使它們更加危險。

因此，對於用戶來說，重要的是採取措施保護自己免受這些類型的威脅，方法是使用強密碼並使用最新的安全補丁使他們的系統保持最新狀態。