ReverseRat,一種針對印度實體的巴基斯坦木馬
印度和巴基斯坦之間的網絡戰仍在繼續。這一次,一個不知名的巴基斯坦威脅參與者一直在使用一種名為 ReverseRat 的新型惡意軟件來破壞印度電力公司的網絡安全。這種新威脅通常與其他有效載荷結合使用,其主要目的似乎是數據竊取和偵察。雖然 ReverseRat 的功能不是很先進,但它包含了足夠多的功能,允許其操作員在他們妥協的系統上執行各種任務。
ReverseRat 受僱於攻擊印度電力公司
到目前為止,研究人員還無法確定犯罪分子用來傳送植入物的確切方法,但他們很可能依賴電子郵件附件。如果用戶最終與可疑電子郵件進行交互,則可能會提示他們下載文件附件或託管在外部站點上的文件。有問題的文件通常是 ZIP 存檔,其中包含 LNK 或 PDF 文件。如果用戶授予它們某些權限,這兩個文件可以執行惡意代碼。這些偽造文件的主題可能會有所不同,但犯罪分子似乎專注於能源部門的特定主題,或與 COVID-19 疫苗相關的主題。
ReverseRat 包含大量功能
在運行之前,ReverseRat 會收集一些關於它已經入侵的網絡的基本信息——MAC 地址、IP 地址、硬件和軟件配置以及計算機名稱。運行後,它可以執行多項任務:
- 下載並啟動可執行文件。
- 竊取文件。
- 運行一個新進程。
- 管理文件系統。
- 列出目錄內容。
- 查看正在運行的進程並對其進行管理。
- 劫持剪貼板。
- 抓取屏幕截圖。
ReverseRat 木馬俱有在內存中執行其某些組件的能力,因此最大限度地減少了它在受感染系統上留下的數據足跡。然而,它的攻擊並非完全沒有文件,信譽良好的防病毒產品應該很容易檢測到這一點。