ReverseRat，一種針對印度實體的巴基斯坦木馬

印度和巴基斯坦之間的網絡戰仍在繼續。這一次，一個不知名的巴基斯坦威脅參與者一直在使用一種名為 ReverseRat 的新型惡意軟件來破壞印度電力公司的網絡安全。這種新威脅通常與其他有效載荷結合使用，其主要目的似乎是數據竊取和偵察。雖然 ReverseRat 的功能不是很先進，但它包含了足夠多的功能，允許其操作員在他們妥協的系統上執行各種任務。

ReverseRat 受僱於攻擊印度電力公司

到目前為止，研究人員還無法確定犯罪分子用來傳送植入物的確切方法，但他們很可能依賴電子郵件附件。如果用戶最終與可疑電子郵件進行交互，則可能會提示他們下載文件附件或託管在外部站點上的文件。有問題的文件通常是 ZIP 存檔，其中包含 LNK 或 PDF 文件。如果用戶授予它們某些權限，這兩個文件可以執行惡意代碼。這些偽造文件的主題可能會有所不同，但犯罪分子似乎專注於能源部門的特定主題，或與 COVID-19 疫苗相關的主題。

ReverseRat 包含大量功能

在運行之前，ReverseRat 會收集一些關於它已經入侵的網絡的基本信息——MAC 地址、IP 地址、硬件和軟件配置以及計算機名稱。運行後，它可以執行多項任務：

• 下載並啟動可執行文件。
• 竊取文件。
• 運行一個新進程。
• 管理文件系統。
• 列出目錄內容。
• 查看正在運行的進程並對其進行管理。
• 劫持剪貼板。
• 抓取屏幕截圖。

ReverseRat 木馬俱有在內存中執行其某些組件的能力，因此最大限度地減少了它在受感染系統上留下的數據足跡。然而，它的攻擊並非完全沒有文件，信譽良好的防病毒產品應該很容易檢測到這一點。