威脅組織正在使用 ObliqueRAT 發起針對政府目標的攻擊

安华金和發表於2020-02-23

威脅組織正在使用 ObliqueRAT 發起針對政府目標的攻擊

研究人員發現了一種新的遠端訪問特洛伊木馬(RAT),這似乎是專門針對政府和外交目標的威脅組織的一種攻擊手段。

週四,思科 Talos 的研究人員說,名為 ObliqueRAT 的惡意軟體正在針對東南亞目標的新攻擊中進行部署。

最近的競選活動於 2020 年 1 月開始,目前正在進行中。該計劃背後的網路罪犯使用網路釣魚電子郵件作為主要的攻擊媒介,惡意的 Microsoft Office 文件附加在旨在部署 RAT 的欺詐性電子郵件上。

附件具有比較正式的名稱,例如 Company-Terms.doc 或 DOT_JD_GM.doc,這可能是“電信部門_職位描述_總經理”的簡稱。

網路釣魚電子郵件的主體中可能包含開啟檔案所需的憑據,如果受害者輸入了密碼並開啟了文件,則惡意的VB指令碼將立即生效,提取惡意二進位制檔案並刪除可執行檔案,該可執行檔案充當 ObliqueRAT 的刪除程式。

每次重新啟動受感染的系統時,透過為可執行檔案建立啟動過程來維護永續性。

Talos 認為 RAT 是“簡單的”,並且包含典型木馬的核心功能,包括能夠提取檔案和系統資料以傳輸到命令和控制(C2)伺服器的能力。下載和執行其他有效負載的功能,以及終止現有程序的能力。

但是,一個有趣的功能是,惡意軟體會查詢特定目錄,以獲取其中的檔案。目錄名稱 C:\ProgramData\System\Dump 是硬編碼的。

研究人員說:“RAT 透過建立並檢查一個名為 Oblique 的互斥體來確保在任何給定時間內,受感染的端點上都只執行其程序的一個例項。”如果端點上已存在命名互斥體,則 RAT 將停止執行,直到下次登入受感染的使用者帳戶。”

為了避免檢測和逆向工程,該惡意軟體還將檢查系統的名稱和資訊,以瞭解 PC 被沙箱化的線索,例如使用使用者名稱“test”。

根據 Talos 的說法,RAT 的傳播方式與惡意文件中使用的VBA指令碼變數之間的相似之處表明,它可能與 CrimsonRAT 建立了潛在的聯絡,CrimsonRAT 以前與同一地區的外交和政治組織的攻擊有關。

Talos說:“該活動表明,威脅行為者進行了有針對性的惡意文件分發,類似於在 CrimsonRAT 分發中使用的惡意文件。” “但是,突出的是,參與者現在正在分發一個新的RATS系列。儘管它在技術上並不複雜,但是 ObliqueRAT 包含大量功能,可用於在受感染的端點上執行各種惡意活動。 ”

來源:ZDNet

更多資訊

關於 Apache Tomcat 存在檔案包含漏洞的安全公告

2020 年 1 月 6 日,國家資訊保安漏洞共享平臺(CNVD)收錄了由北京長亭科技有限公司發現並報送的 Apache Tomcat 檔案包含漏洞(CNVD-2020-10487,對應 CVE-2020-1938)。攻擊者利用該漏洞,可在未授權的情況下遠端讀取特定目錄下的任意檔案。目前,漏洞細節尚未公開,廠商已釋出新版本完成漏洞修復。

來源:開源中國
詳情連結: https://www.dbsec.cn/blog/news.html

WIFi 5 最後的瘋狂 2019 年無線路由器市場報告

2019年無線路由器市場面對首批WiFi 6產品的來勢洶洶,WiFi 5產品掀起了最後的瘋狂。在產品方面,全千兆埠+1300Mbps速率已經成為標配。在下半年的市場中,各個廠商更是接連推出2100Mbps的低價產品,將原來發燒級的產品規格拉低到了150元左右。

來源:中關村線上
詳情連結: https://www.dbsec.cn/blog/news.html

獨立監督委員有望保障非盈利性 .ORG 域名持有者的權益

自從負責 .ORG 域名註冊業務的非營利組織 PIR 被 Ethos Capital,有關這傢俬營機構的批評和質疑就從未停下來過。儘管 Ethos Capital 試圖透過一系列新規則來安撫,但購買 .ORG 頂級域名的組織,仍希望建立一個獨立的“管理委員會”、並透過合同的形式,以禁止向非營利性域名持有者收取高額的費用。

來源:cnBeta.COM
詳情連結: https://www.dbsec.cn/blog/news.html

(資訊來源於網路,安華金和蒐集整理)

相關文章