https://citizenlab.org/2015/12/packrat-report/

0x00 概括

---

這份報告介紹了一次大規模的木馬、釣魚和虛假資訊活動，這一攻擊活動的目標是幾個拉美國家，包括厄瓜多、阿根廷、委內瑞拉和巴西。根據受害者的特徵和地理分佈來看，這次攻擊活動的贊助者對這些地區的政治情況很感興趣。** Packrat很關注這些地區的政治反對派，ALBA國家聯盟（美洲玻利瓦聯盟***||||*）**，以及這些國家境內的獨立媒體。ALBA國家聯盟透過一項貿易協定建立，這些國家在很多非經濟領域都有合作。

在2015年，我們率先在厄瓜多捕捉到了一波攻擊活動，接著在2014年，我們發現這些攻擊活動與在阿根廷境內活躍的一起行動有關聯。我們在阿根廷發現攻擊行動時，攻擊者正好在試圖入侵Alberto Nisman和Jorge Lanata的裝置。根據我們所瞭解的行動情況，我們又調查發現，這個攻擊小組的活動最早可以追溯到2008年。

在這份報告中，我們拼湊起了各個活動碎片，包括使用的木馬、釣魚活動，以及在拉美放置的CC伺服器。Packrat甚至在委內瑞拉和厄瓜多建立了虛假的網際網路組織。誰應該對此負責呢？我們在評估了攻擊者使用的一些攻擊方案後認為，Packrat很可能是某個政府贊助的攻擊小組，而且他們也並不擔心自己的活動、目標和維持方法會暴露。但是，我們並沒有確定Packrat的贊助者具體是誰。

0x01 Packrat的七年行動

---

本文的作者們仍然獨立地調查這些出現在拉美的木馬和釣魚活動。在這份報告中，總結了我們的調查發現。這些攻擊活動的主要目標位於拉美國家，包括委內瑞拉，厄瓜多，阿根廷和巴西。我們把這些行動的策劃者叫做Packrat，因為他們很喜歡用加殼了的RAT木馬，在這麼多年來，他們也一直在使用相同的域名和伺服器。

圖1-已知的一些Packrat攻擊目標和活動型別

Packrat會利用木馬和釣魚活動來系統性地攻擊一些政治高層，記者和外國目標。我們發現Packrat在這7年中，總共使用了12個不同的木馬CC域名，超過30個木馬樣本。另外，Packrat還喜歡利用一種很有趣的攻擊策略：首先，成立並運營虛假的反對派組織和新聞組織，然後利用這些組織來傳播木馬並執行釣魚攻擊。

在這些假冒的組織中， 有的僅僅是一個名字而已，有的會更精心設計線上活動。Packrat還會創辦假冒的新聞機構，但是我們並沒能在木馬或釣魚活動中發現任何證據。

圖2-Packrat的主要活動

我們發現Packrat最早的活動可以至少追溯到2008年。透過確定網路基礎設施之間的關聯，我們發現了幾波攻擊活動，在這些活動中使用了不同的工具和戰術。在這一部分中，我們會簡要地介紹Packrat在不同時間使用的一些網路基礎設施，以及實施的攻擊活動。更詳細的木馬使用歷史，請看“3. Packrat植入木馬的進化”。

Packrat最大規模的攻擊行動

2008-2013

Packrat使用的工具和基礎設施表明，他們至少從2008年就開始活動。在這段時間中，Packrat利用了巴西的託管服務，其中的一些木馬樣本也是透過巴西的IP地址上傳到了常用的線上防毒服務商。他們傳送的一些資訊也涉及到了針對巴西使用者的誘餌內容。從中就能判斷，這些活動是以巴西使用者為目標，不過，我們還沒有確定在這段時間遭到了攻擊的受害者身份。

2014

到2014年，Packrat開始攻擊高價值目標-阿根廷律師Alberto Nisman和著名的記者、電視節目主持人Jorge Lanata。Maximo Kirchner，阿根廷總統的兒子也聲稱自己遭到了攻擊。Maximo Kirchner公佈的釣魚郵件也是我們見過的，但是我們還無法證明他是否真的遭到了襲擊。除此之外，我們發現大量與Ecuadorian和Venezuelan相關的釣魚域名在這段時間非常活躍。

2015

在2015年，湧現出了大批針對公民團體和公眾人物的釣魚和木馬活動，包括厄瓜多議會。我們觀察到了大量的釣魚域名和攻擊活動。在這段時間中出現的行動經常會利用攻擊者成立的虛假組織。我們發現攻擊者利用這些假冒的組織和虛假資訊攻擊了厄瓜多，委內瑞拉境內的目標。

1.1 Nisman與阿根廷境內的攻擊活動

2015年1月，頗有爭議的阿根廷檢察官Alberto Nisman遭到槍殺。阿根廷新聞媒體報導稱，布宜諾斯艾利斯市警察局刑偵實驗室在他的Android手機上發現了一個惡意檔案“estrictamente secreto y confidencial.pdf.jar”（意思是高度機密）。

在2015年5月29日，阿根廷的一名使用者上傳了一個相同名稱的檔案到Virustotal上。這個檔案是一個遠端入侵工具- AlienSpy，可以允許攻擊者記錄目標的活動，訪問其郵件、網路攝像頭等。但是，這個檔案針對的是Windows作業系統，並不能感染Nisman的安卓手機。

Morgan Marquis透過分析Alienspy，確定了攻擊者使用的CC伺服器是deyrep24.ddns.net。除了用於攻擊Nisman，Lanata和Kirchner的木馬，還有另外三個樣本也在使用deyrep24.ddns.net作為CC伺服器。其中一個樣本-3 MAR PROYECTO GRIPEN.docx.jar是基於AlienSpy開發的，這個樣本偽裝成了一個文件，這個文件的內容利用了厄瓜多總統科雷亞與厄瓜多大使斯維登就購買戰鬥機的商討意見。

在公佈這一發現後，其他一些遭到攻擊的目標也逐漸浮出了水面。著名的調查記者、電視節目主持人Jorge Lanata稱自己也遭到了同一個木馬的攻擊。總統的兒子Maximo Kirchner也聲稱自己是攻擊目標。我們無法證實Kirchner的說法，但是，他公佈了一張釣魚郵件的截圖：

圖3- Maximo Kirchner說明自己遭到了攻擊

他說，在這份郵件中有一個叫做“Estrictamente Secreto y Confidencial.pdf.jar”(大小67.3kb)的附件，Nisman和Lanata收到的也是這個木馬。另外，發件人的郵箱地址(claudiobonadio88@gmail.com)宣稱是著名法官Claudio Bonadio。Lanata接收到的郵件也是聲稱來自Claudio Bonadio (cfed.bonadio@gmail.com)。

1.2 厄瓜多境內的活動

在2015年，厄瓜多境內有大量的記者和公眾人物遭到了釣魚攻擊，主要是透過郵件和簡訊。我們檢查了這些郵件，其中一些並沒有涉及政治內容，而是為了竊取使用者的社交媒體和郵箱憑據，比如Gmail。但是，其他的一些郵件利用了與政治人物和厄瓜多問題相關的政治內容。透過進一步的調查，我們發現了一起大規模的攻擊行動，以及攻擊者成立的各種虛假組織。

本文的一位作者開發了一個Gmail搜尋查詢，能夠查詢與攻擊活動相關的字串（附錄A：搜尋查詢）。我們把這個搜尋查詢分享給了大量的潛在目標，並發現了大量的釣魚活動和可疑的Word（DOCX）文件。這些可疑文件中內嵌了用Java編寫的RAT，包括Adzok和AlienSpy。接著，我們使用在JAR檔案中發現的標識和更新後的Gmail查詢，識別出了Packrat使用的各種惡意檔案和域名（附錄B：木馬樣本）。

我們發現釣魚網站和木馬網站之間還有聯絡。這些網站通常會共用相同的註冊資訊，或託管在相同的伺服器上。我們判斷出，這些木馬樣本通常會與daynews.sytes.net通訊，與阿根廷境內的活動有關聯。最終，透過調查這個daynews.sytes.net基礎設施，我們發現了在巴西使用的木馬和基礎設施，以及在委內瑞拉使用的虛假網站。

1.3 共同的CC基礎設施

這一部分介紹了Packrat使用的CC基礎設施。在附錄B中，我們提供了完整的CC域名、相關的二進位制和木馬家族。

Packrat使用的deyrep24.ddns.net域名是在2014年11月7日建立的，在攻擊Nisman時，這個域名指向了IP地址：50.62.133.49。這個IP地址屬於GoDaddy，在2015年3月3日，這個域名更改了GoDaddy：192.169.243.65。被動DNS記錄表明，deyrep24.ddns.net在使用這個IP地址時，在2015年3月1日建立的daynews.sytes.net也在利用這個IP。在我們聯合調查期間，我們發現了5個木馬樣本都在使用這個域名來攻擊厄瓜多境內的記者和民主社群。

Packrat使用的CC基礎設施

圖4-Packrat的CC基礎設施

透過搜尋與daynews.sytes.net相關的域名，我們找到了taskmgr.serveftp.com，這個域名在2014年8月11日時的IP地址是190.210.180.181。這個IP地址屬於阿根廷，daynews.sytes.net在剛註冊的那段時間中使用了這個IP，接著很快就轉向了GoDaddy。在2014年10月、2015年5月的幾天中，taskmgr.serveftp.com域名又重新使用了190.210.180.181。在2014年7月23日，taskmgr.serveftp.com託管在了201.52.24.126上，這是巴西的一個IP地址，這個IP還託管了taskmgr.servehttp.com和taskmgr.redirectme.com。我們總共發現了15個木馬樣本不是使用了taskmgr.servehttp.com，就是使用了taskmgr.serveftp.com作為CC域名（有幾個樣本同時使用了這兩個域名）。樣本的最早版本是在2008年12月14日編譯的，藉此，我們可以知道Packrat最早是在這時候活動的。然而，這個時間戳也可能是假的，我們還沒有在其他樣本中發現證據能證明這一點。

Packrat使用的CC基礎設施

在2014年7月11日，所有的‘taskmgr’域名都託管在了186.220.1.84，這是巴西的一個IP地址。同一時間，這個IP還託管了ruley.no-ip.org。我們成功找到一個樣本既使用了ruley.no-ip.org也使用了taskmgr.servehttp.com作為其CC域名。在2012年9月6日，ruley.no-ip.org託管在了189.100.148.188，這個IP仍然屬於巴西，另外還有兩個域名lolinha.no-ip.org和 wjwj.no-ip.org也使用了這個IP。我們發現有兩個樣本配置了使用這三個域名作為CC伺服器，有三個樣本使用了ruley.no-ip.org和wjwj.no-ip.org，有一個樣本只使用了ruley.no-ip.org。在2014年8月15日，taskmgr.servehttp.com託管在了186.220.11.67，這個IP同樣屬於巴西。在相同時間，這個IP還託管了conhost.servehttp.com和dllhost.servehttp.com。我們發現了兩個樣本配置使用了conhost.servehttp.com和dllhost.servehttp.com作為CC伺服器。

除了這些域名，域名wjwjwj.no-ip.org和wjwjwjwj.no-ip.org有關聯。在2014年3月25日，wjwj.no-ip.org和wjwjwj.no-ip.org指向了179.208.187.216。我們還沒有發現樣本只使用了wjwjwj.no-ip.org或wjwjwjwj.no-ip.org。

這些域名背後的CC伺服器是由拉美的提供商託管的，包括Uruguay Montevideo Administración Nacional De Telecomunicaciones, Argentina Buenos Aires Nss S.A. (IPLAN), 和 Claro Brazil。

Packrat還利用了歐洲和美國的伺服器，包括瑞典的Portlane和美國的GoDaddy。

我們想要透過確定這些主機服務提供商，從而關停Packrat的基礎設施。

0x02 近期在厄瓜多出現的木馬攻擊活動

---

Packrat活躍在很多國家中，但是我們在厄瓜多收集到了大部分活動證據，以及這些活動與目標和受害者之間的關聯。在寫這篇文章時，我們仍然在跟蹤針對厄瓜多目標的攻擊活動。

圖5-已知在厄瓜多境內Packrat的攻擊目標

透過利用郵箱搜尋查詢，並分析木馬的資料庫和CC基礎設施，我們收集到了大量針對記者、公共任務、政治家等的木馬和釣魚活動。

2.1 針對厄瓜多境內Packrat木馬的分析報告

在這些報告中，有的是公共報告，有的是社交媒體上的討論。例如，厄瓜多言論自由組織Fundamedios就報導稱，一些公眾人物、新聞組織、Fundamedios的領導都接收到了可疑的資訊和釣魚郵件。隨後，Fundamedios又更新報告稱這些木馬使用了相同的CC基礎設施，而攻擊Nisman的木馬也使用了同一個基礎設施。在Twitter上也有相關的木馬和釣魚活動說明。我們發現了很多與Packrat相關的報導。

2.2 常用技術

們觀察到，攻擊者利用了社會工程技術來傳播木馬攻擊厄瓜多境內的目標。在一次活動中，我們發現了一個木馬經常會配合政治內容的誘餌使用，利用的經常是有關厄瓜多反對派的資訊。在其他的一些情況下，攻擊者會根據特定的木馬來制定傳播途徑，大多是透過包含有惡意Java的Microsoft Word文件來投遞木馬。但是，在其他情況下，攻擊者會利用虛假更新來傳播木馬。

常用的木馬傳播技術:

• 使用惡意檔案作為附件
• 在攻擊者控制的網站上放木馬連結
• 透過Google Drive或Onedrive
• 彈窗或虛假的政治網站通知

Packrat在社交工程技術中利用的發件人和網站都會偽裝成真正的使用者和組織。例如，他們註冊了ecuadorenvivo.co，看起來像是Ecuador En Vivo新聞網站的域名(ecuadorenvivo.com)。然後，Packrat會傳送疑似來自ecuadorenvivo.co的新聞郵件更新（真正的Ecuador En Vivo網站就是有這個功能）。

Packrat有時候還會建立相同的新聞事件路徑，並隱藏在連結中。比如：

類似的域名

目標看到的樣子：

• http://ecuadorenvivo.com/videos/el-meme-que-volvio-loco-a-correa.html

真正的惡意連結：

• http://ecuadorenvivo.co/videos/el-meme-que-volvio-loco-a-correa.html

2.3 三次攻擊活動

為了說明Packrat的攻擊方法，在這一部分詳細地介紹了3起近期發生的攻擊活動。這三次攻擊活動發生在2015年春—2015年秋。攻擊目標包括厄瓜多的記者和公眾人物。

2.3.1 攻擊活動1：來自虛假反對派的郵件

在2015年4月，多個目標都收到了來自“Movimento Anti Correista”（反科雷亞運動）的郵件，這是攻擊者虛構的一個反對派組織。在這些郵件使用了包含有Adzok木馬的Microsoft Word附件，以及文字和圖片來增加郵件的可信性。

“Movimento Anti Correista”傳送的郵件

圖6-“Movimento Anti Correista”傳送的郵件

這份郵件有幾個目的，很顯然是為了誘使目標下載並瀏覽文件，但是似乎也是想要確定域名的合法性，以及活動的身份。

惡意附件

• 名稱：La jugada sucia De Correa ante la oposición.ppt
• 型別: Microsoft Word Document file (.docx)
• MD5: ea7bcf58a4ccdecb0c64e56b9998a4ac

圖7-惡意郵件

在這個文件中內嵌了一個叫做“Adzok – Invisible Remote Administrator”的軟體。

2.3.2 攻擊活動2：你在被監視著！

這次攻擊活動旨在引起目標的恐慌和擔心，從而誘使目標開啟惡意檔案。釣魚郵件是根據目標定製的，並恐嚇目標正在SENAIN，厄瓜多的國家情報部門監控著。郵件附件宣稱是在SENAIN監控下的Twitter使用者名稱單。有趣的是，郵件的傳送人是“Guillermo Lasso”，上次總統競選失敗的候選人。

圖8-發件人號稱是“Guillermo Lasso”，上次總統競選失敗的候選人

像第一次攻擊活動一樣，這個木馬並沒有投遞漏洞，但是需要受害者雙擊檔案，並在執行前接受所有的彈窗。

要求目標點選的文件:

圖9-要求目標點選的文件

一旦使用者雙擊了影像，目標就會感染AlienSpy木馬。透過檢查木馬的配置檔案，我們發現木馬使用了C2伺服器daynews.sytes.net，Packrat經常在攻擊活動中利用這個域名。有趣的是，我們發現在其他的一些攻擊活動中也使用了同一個誘餌文件（相同的MD5）。

2.3.3 攻擊活動3: “關於Correa撒謊的獨家訊息”

這次攻擊活動利用了一個設定有惡意內容的虛假政治網站。而惡意郵件會把受害者定向到這個網站上。有意思的是，這次攻擊活動會嘗試欺騙目標相信這是記者Focus Ecuador的合法網站。Packrat似乎控制了.tk和.info域名。

關於 Correa撒謊的資訊，請看影片：http://focusecuador.tk/

這份郵件中還包括有一個來自mesvr.com的跟蹤影像，ReadNotify經常使用這個影像來跟蹤郵件的傳送情況。攻擊者似乎是想要獲取更多關於目標的資訊，比如確定不遠開啟惡意檔案的目標IP地址。

focusecuador.tk網站中包含有從合法網站上覆制來的資訊，但是也給受害者顯示了一個Flash更新通知。在點選時，連結就會觸發“plugin_video.jar”的下載。

虛假的Flash更新通知

圖10-虛假的Flash更新

這並不是一個Flash更新，而是一個捆綁了AlienSpy / Adwind的遠端訪問木馬。在執行時，基於Java的木馬會與Packrat的CC伺服器46.246.89.246 (daynews.sytes.net)通訊。透過分析木馬，我們發現了相同配置的LOS TUITEROS ESPIADOS POR SENAIN.docx和Los trinos de Rafael Correa.docx樣本。

攻擊活動3：二進位制

• 名稱: plugin_video.jar
• 型別: Java Archive (JAR)
• MD5: 74613eae84347183b4ca61b912a4573f

2.4 Packrat發話了！

在我們分析攻擊行動3期間，一名Packrat攻擊者開始在受感染的機器上用西班牙語和英語與一名Citizen Lab的研究員交流。

圖11-出現在Citizen Lab研究員螢幕上的威脅和辱罵

這些謾罵會以彈窗或文字的形式顯示在IE瀏覽器中。攻擊者威脅了我們的研究員，“你現在在玩火，不小心就死了！”有些資訊還不是慣用的西班牙語，藉此可以推測攻擊者的母語。

攻擊者還使用了Windows 文字轉語音功能，在受感染的計算機上播放西班牙語的音訊來恐嚇我們的研究員。

在10月份的時候，攻擊者再次恐嚇了一名研究人員，接著利用植入木馬遠端關閉了受感染的裝置。

這種情況很不常見，很少有攻擊者會與研究人員接觸。因為攻擊者這樣做，非常不安全。可能以前有個人嘗試處理或分析過Packrat的檔案，尤其是在基礎設施暴露之後，所以他們才會這樣做。因為Packrat很喜歡讓基礎設施保持線上，所以他們不喜歡其他人的關注。

0x03 Packrat植入木馬的進化

---

在過去的七年中，Packrat使用了幾種不同型別的木馬，大多是可以買到的現成RAT，比如Cybergate, Xtreme, AlienSpy, 和 Adzok。雖然，研究人員都知道這些木馬，但是Packrat會使用一系列的工具來混淆這些木馬，他們使用的工具有一個未知的VB6 crypter，AutoIt3Wrapper, UPX, PECompact, PEtite, 和Allatori Obfuscator。透過混淆，Packrat的攻擊活動就能繞過檢測。在這一部分中，我們根據時間分組，介紹了這些工具。

圖12-Packrat木馬家族

3.1 2008-2014: 加殼RAT，主要是CyberGate RAT

在2008年-2014年期間，Packrat大範圍利用了現有的RAT，然後用AutoIt3Wrapper進行了加殼。這個加殼程式是用 AutoIt編寫的，是Windows中能自動處理任務的一種指令碼語言。使用混淆能夠誤導檢測，並且他們使用了一些基礎的反除錯技術。

攻擊者投放的木馬中，有大量是CyberGate RAT。在2013年和2014年，Packrat似乎還採用了XtremeRAT。Cybergate 和 Xtreme都是用Delphi編寫，這兩個木馬與另外兩個基於Delphi的木馬SpyNet 和Cerberus都使用了相同的程式碼。

在很多攻擊活動中都利用了Office文件作為誘餌，在執行植入木馬時，誘餌文件就會開啟。在我們發現的誘餌文件中，有的是巴西求職者的簡歷，有的是巴西律師聯合會的支付單據。

圖13-一份簡歷

這些攻擊活動表明，Packrat在這段時間的攻擊目標中有的是說葡萄牙語。有些特定的誘餌文件針對的是巴西境內的目標。

圖14-支付單據

我們發現，大量的植入木馬都會與CC域名taskmgr.servehttp.com通訊，其他的幾個CC還有ruley.no-ip.org, lolinha.no-ip.org, 和 taskmgr.serveftp.com。

3.1.1 分析 CyberGate RAT

我們分析的CyberGate RAT樣本通常會封裝一層AutoIt。二進位制中的程式碼和字串表明，這個木馬基於的是Spy-Net RAT 2.6版。這個RAT是一名巴西駭客開發的，使用了spynetcoder，在Spy-Net RAT的“官方網站”上有標註。

CyberGate的感染例程

在解壓後，CyberGate就進入第二階段，執行感染例程。感染例程會在執行程式中注入第三階段的DLL。在植入後，CyberGate 會部署維持技術並監控受害者。

第三階段模組會選取三個執行路徑（根據互斥量）：

• 密碼收集 (互斥量: “_x_X_PASSWORDLIST_X_x_”)
• 攔截其他應用中的滑鼠和鍵盤輸入 (互斥量: “_x_X_BLOCKMOUSE_X_x_”)
• 感染例程

CyberGate 反分析

木馬的感染例程自帶了反分析功能，這些功能都打包在一個單獨的函式中。CyberGate 會搜尋虛擬環境和沙盒環境，並且會透過IsDebuggerPresent API檢查除錯工具，透過管道來查詢SoftICE 和 Syser 。木馬會透過檢查每個函式的第一個位元組是不是“CC”，來判斷函式入口上是不是有斷點。

圖15-CyberGate 反分析

CyberGate 程式注入

感染例程會從資源節獲取加密的植入，在解密後，嘗試把植入注入到Windows system shell程式 (explorer.exe)。如果失敗，CyberGate會自己啟動一個 explorer.exe程式，將植入注入到程式中，然後完成設定。除此之外，另外的一個CyberGate例項會注入到隱藏的預設瀏覽器程式中。

感染例程會複製自己，並將副本投放到不同的目錄下，具體要取決於Windows版本：/System, /Windows,或 /Program Files。植入木馬的名稱也會變化：taskhost.exe, regedit.exe,和taskmgr.exe都是很常用的。另外，感染例程還會把加密後的植入木馬副本寫入%TEMP%目錄，並命名為XX–XX–XX.txt。

為了讓木馬維持的更長久，第二階段會寫入登錄檔鍵值，讓CyberGate開機啟動：

密碼收集

如果有收集密碼的任務，第二階段的二進位制就會從多個位置收集密碼：No-ip 動態更新客戶端(DUC), MSN messenger, Firefox, 和 Internet Explorer。登入憑證是從Windows登錄檔、瀏覽器、RAS撥號設定、本地安全認證（LSA）設定、MS ProtectedStorage、MS IntelliForms和憑證商店中獲得的。

CyberGate的功能

CyberGate會執行兩個例程。第一個例程是在預設瀏覽器程式中執行的。同時，explorer.exe例程會作為一個“看門狗”，用於維護木馬，並確保磁碟上感染例程的二進位制不會被清除

圖16-搜尋安裝了Spy-Net 的標識

CyberGate植入木馬自帶了與感染例程相同的憑證竊取功能，並且還可以透過例程來監視Chrome和STEAM憑證。同樣是繼承自感染例程，CyberGate也使用了相同的反分析例程來攔截沙盒和除錯工具。

除了在感染例程中看到過的功能，CyberGate還能提供給攻擊者完整的監控和遠端控制能力。

CyberGate 的能力包括：

• 收集詳細的系統資訊
• 啟動並控制網路攝像頭和麥克風
• 螢幕截圖
• 攔截使用者輸入（比如：鍵盤、滑鼠）
• 控制程式、視窗、應用、裝置、磁碟、埠、TCP&UDP連線、剪貼簿、登錄檔鍵值和註冊值
• 控制檔案系統
• 下載並執行二進位制
• 透過FTP向外傳輸資料
• 收集已安裝的安全產品資訊

有趣的是，CyberGate會啟動一個硬編碼.vbs指令碼上的cscript.exe，透過Windows Management Instrumentation (WMI)收集系統上安裝的安全產品資訊。這個指令碼會請求系統上安裝的防毒產品和防火牆解決方案的名稱和版本號，並把資料轉出到一個檔案中：

收集到的資料會儲存在磁碟上的轉儲檔案，然後會透過HTTP或FTP傳送到遠端伺服器上。

3.1.2 分析 XTremeRAT

XTremeRAT是一個可以買到的木馬，經常用於監控受害者的機器。雖然有一些對政治不感冒的駭客也會使用這個木馬，但是在敘利亞內戰期間，更多還是政府駭客會利用這個木馬來攻擊反對派，在中東和北非，也有一些政治利益驅動的駭客會利用這個木馬。

雖然經常會加殼，XTremeRAT本身的隱藏和維持功能是有限的。其監控功能也很直接。我們分析的XTremeRAT版本並沒有使用混淆。XTremeRAT的實現是一個客戶端/伺服器架構，其中受感染的機器作為伺服器，而CC作為客戶端。

這個版本的XTremeRAT具有下面的功能：

• 記錄鍵盤輸入
• 記錄前臺桌面應用的名稱
• 嗅探剪貼簿來查詢密碼
• 透過HTTP下載並執行二進位制，應該是安裝第二階段的木馬

圖17-安裝 XTreme RAT 的鍵盤記錄模組

Xtreme RAT 的操作和鍵盤記錄功能

Xtreme RAT會使用安裝的剪貼盤檢視工具，透過鍵盤記錄工具視窗，嗅探剪貼簿上的內容。每當剪貼簿內容發生變化時，這個剪貼簿檢視工具就會接受到視窗資訊WM_DRAWCLIPBOARD，並訪問剪貼簿內容。剪貼簿和鍵盤輸入資料會轉儲到一個.dat檔案，和配置檔案（.cfg）一起放到當前使用者的[…]\Application Data\Microsoft\Windows資料夾。檔名稱都是根據XTreme RAT的配置決定的。

XTreme RAT 的資料檔案

轉儲檔案會透過FTP傳輸。XTreme RAT自帶了一個預先配置好的FTP伺服器憑證佔位符(ftpuser/ftppass)，用於登入ftp.ftpserver.com，然後在執行時交換從CC發出的更新值。

XTreme RAT還會根據配置和轉儲檔案的命名規則建立一個互斥量（比如“RJokLSZBjPERSIST”）。XTreme RAT的配置檔案是從.rsrc中獲取的，並且使用了RC4加密，秘鑰是“CONFIG”。其他的XTreme RAT變種也曾經使用過這種演算法和秘鑰組合。

這個XTreme RAT變種使用了explorer.exe來容納遠端執行緒，從而實現特定的功能。至少有三種情況下會有執行緒注入。

XTreme RAT 的explorer.exe注入：

• 一個“看門狗”執行緒，用於恢復登錄檔值，找到感染例程並執行。為了增強隱蔽性，投放模組會修改感染例程的時間戳。
• 一個負責刪除磁碟上XTreme RAT檔案的執行緒
• 完整的鍵盤記錄程式碼和FTP傳輸功能

3.2: 2014-2015 AlienSpy

在過去的兩年中，Packrat一直在使用最新的AlienSpy木馬。這個軟體一開始是作為免費的RAT “Frutas”，在2013年的一次墨西哥行動中識別到。接著經過改造，作為“Premium RAT”Adwind銷售。Adwind一個許可的價格是$75，多次許可的價格是$250。然後，在2013年，AdWind更名為了UNRECOM，並在多起針對中東的活動中檢測到。

這個軟體最近更多的是叫做 “AlienSpy”，研究人員發信有些針對性間諜行動使用了這個木馬。在撰寫報告時，這個RAT在重新加殼後，叫做JSocket。在報告中，我們統一把所有的變種都叫做“AlienSpy”。 AlienSpy 功能完善，包括記錄受害者的鍵盤輸入，透過內建麥克風記錄環境聲音，遠端檢視受害者的桌面，並可以暗自開啟受害者的網路攝像頭。

3.2.1 Packrat的Alienspy 部署

從2014年-2015年初，Packrat很喜歡在釣魚郵件中傳送AlienSpy作為附件，通常副檔名是‘.pdf.jar’。Winddows預設是不顯示擴充套件的，所以使用者只能看到是.pdf。在這一時間段中，所有的樣本都採用了類似的編譯方式，差別不大。有一個.jar (Java archive)檔案中包含有一個叫做META-INF的資料夾和兩個檔案Favicon.ico和Principal.class。在執行時，Principal.class會解壓“Favicon.ico”的內容（不是一個圖示檔案，而是一個.zip檔案），並查詢檔名中包含“.jar”的檔案。

Favicon.ico的內容

一旦找到正確的檔案（在這裡是0doc.jar），就會把這個檔案投放到一個隨機命名的臨時檔案，這個臨時檔案有一個常量字串，並且呼叫Java來執行這個檔案。

“Favicon.ico”中的.jar檔案

“Main.class” 使用Allatori進行了混淆，Allatori是AlienSpy使用的來自俄羅斯的一款JVM obfuscator。

首先，從“ID”檔案中讀取一部分RC4秘鑰，再附加上一個常量字串，然後使用完整的RC4秘鑰來解密MANIFEST.MF的內容，這樣就能得到真正的Adwind JAR 檔案。

MS Office文件中的AlienSpy

在2015年，Packrat開始透過.docx檔案傳送AlienSpy植入。這種混淆檔案的方法更加複雜，但是與先前的技術還是很類似。解壓感染後的MS Word文件就能在word/embeddings目錄下得到一個“oleObject1.bin”檔案。開啟這個Jar檔案，能獲得：

與前面Packrat早期混淆AlienSpy的方法類似，一部分解密秘鑰儲存在一個.txt檔案中。另一半是一個字串，在解密了abcdefghijk[a,f,j,s,u,z].class檔案後獲得。

維持機制是透過在登錄檔中新增下面的註冊值實現的：

3.2.2 Adzok出現

在2014年-2015年期間，Packrat還使用了Adzok-隱藏遠端管理員。類似於AlienSpy的功能，這個基於Java的Adzok很顯然來自玻利維亞。高階版需要$990，但是Packrat使用的似乎是免費版。這個版本的Adzok沒有使用混淆，這樣就可以簡單的解壓docx文件中的jar檔案，並讀取明文的配置檔案。考慮到Packrat使用的其他木馬都經過了混淆，我們很吃驚Packrat居然會使用這樣一個木馬。有可能其他RAT的穩定性。相容性和檢測問題導致Packrat使用了Adzok。

0x04 Packrat的長期釣魚活動

---

Packrat一直在利用釣魚活動攻擊相同的組織和個人目標。我們發現Packrat在同一時間，既使用木馬也釣魚攻擊了這些個人目標。在木馬活動中使用的域名和虛假身份也在釣魚活動中再次使用了，Packrat還維護了一些專門的釣魚網站和伺服器。雖然釣魚郵件是定期傳送的，但是我們還觀察到Packrat有時會傳送釣魚郵件來聯絡目標。

我們基本上已經系統性的瞭解了Packrat針對厄瓜多目標的行動，但是有證據表明，Packrat也在攻擊鄰國的目標，包括委內瑞拉。Packrat使用了郵件和社交媒體資訊，以及簡訊來發動釣魚資訊。

這一部分主要介紹了Packrat的釣魚活動，包括政治性主題和非政治性主題。

4.1 非政治性主題的釣魚內容

最常用的釣魚技術就是偽裝成來自郵箱服務或社交媒體網站的密碼驗證請求、非授權登入通知等等。Packrat大範圍利用了郵箱提供商的模板，包括Gmail、Yahoo和Hotmail。大部分郵件都使用了西班牙語。郵件的內容也是根據目標定製的，包括他們的名稱和郵箱地址。

圖18-釣魚郵件樣本

根據攻擊目的，釣魚郵件中會包含釣魚URL或使用縮略網站。

4.1.1 近期的非政治性釣魚

最近，攻擊者似乎稍微修改了自己的技術。我們觀察到攻擊者使用了tinyurl縮略網址服務，並把釣魚網站轉移到了免費的cu9.co上。攻擊者可能認為使用免費的提供商可以降低成本，並增加靈活性。

近期出現的釣魚URL和縮略網址：

• tinyurl.com/nww83ov Yields: main-latam-soporte-widget-local.cu9[dot]co

4.1.2 非政治性釣魚簡訊

大量Packrat的目標還接收到了釣魚簡訊。這些釣魚簡訊使用了釣魚郵件類似的語言，有時候還會使用相同的縮略URL。有時候，攻擊者還會警告使用者如果不點連結，他們的賬戶就會停用。我們在一次案例中發現了包含有不正常郵箱地址的資訊。

圖19-非政治主題的釣魚簡訊

4.2 政治性主題的釣魚活動

我們觀察到有大量的郵件和資訊中包含有政治性內容。Packrat採取了兩種攻擊方式。第一種方式：創辦虛假的政治和媒體組織。第二種方式：偽裝成著名的團體和個人。攻擊者經常會利用相關的新聞事件作為簡訊和郵件內容。大部分內容都與犯罪派有關。

雖然，大部分釣魚郵件都是偽裝成來自郵箱服務或社交媒體網站，但是在特定情況下，Packrat會偽裝成高階別目標使用的郵箱服務，比如厄瓜多國民議會。

4.2.1 攻擊厄瓜多議會

Packrat曾經偽裝成厄瓜多國民議會的郵箱門戶發動了釣魚攻擊。這個惡意網站會誘騙受害者輸入他們的郵箱憑證。

• asambleanacional-gob-ec.cu9.co

合法域名是：

• http://mail.asambleanacional.gob.ec/

4.2.2 一個典型的憑證竊取頁面

無論誘餌是什麼，釣魚資訊中的連結（通常是簡短網址）通常會把受害者引導至一個類似於免費郵箱提供商的域名。在2015年夏天，Packrat利用了一個類似谷歌的域名，當然他們還利用了其他的一些域名：

• mgoogle.us

在攻擊活動中，mgoogle.us偽裝成了一個西班牙語的谷歌登入介面。

圖20-mgoogle.us偽裝成了一個西班牙語的谷歌登入介面

一旦受害者輸入自己的登入資訊，他們就會看到一個西班牙語的資訊，“確認”他們的gmail賬號已經解鎖，並謝謝“選擇我們”。

圖21-西班牙語的資訊，“確認”他們的gmail賬號已經解鎖

在其他情況下，Packrat會傳送“確認”郵件到受害者的郵箱，恭喜他們“驗證成功”。我們發現，在一些情況下，攻擊者在沒有入侵釣魚到的賬號前，就會傳送這封郵件。

雖然這些釣魚活動利用了不同的工具來收集憑證，但是我們發現Packrat重複使用了合法的formmail.com服務來接受釣魚獲取到的憑證。

4.3 一個釣魚/木馬網站樣本

攻擊者控制著大範圍的域名來釣魚或傳播木馬。在這一部分，我們分析了這些基礎設施的特點。比如，釣魚頁面mgoogle.us就會解析到好幾個IP地址，包括：

在這些IP中，第一個IP (198.12.150.249)非常有意思。我們發現這個IP地址上還託管了一些主題類似的可疑域名。在這些域名中，有的偽裝成了登入頁面和更新頁面（比如sopporte-gmail.com 或 login-office365.com），其他的一些還偽裝成了政治網站。

WHOIS

這個網站的註冊人是[email protected]，[email protected]有這些網站中，除了兩個例外，其他的都看起來像是登入頁或服務更新，比如Android和Java。而這兩個例外就是lavozamericana.info 和pancaliente.info。這兩個域名是與另外的釣魚域名同時註冊的。

4.3.1 虛假的新聞網站

網站 ecuadorenvivo.com是一個合法的新聞網站，但是攻擊者控制了一個類似的域名ecuadorenvivo.co。Packrat利用這個虛假的域名像目標傳送郵件，在這些郵件中會包含有木馬附件、或惡意網站的連結。然後透過外掛將木馬下載到受害者的裝置上。

一名Twitter使用者在2015年5月就發現了一個虛假的外掛通知。

圖22-虛假的外掛通知

類似的，focusecuador.net也是一個合法的新聞網站，但是攻擊者控制了類似的域名focusecuador.tk，這個網站會利用虛假的彈窗來傳播木馬。透過檢查focusecuador.tk的IP(193.105.134.27)，我們又發現了很多相似的域名。

4.3.2 虛假的新聞組織：美國之聲？

第二個很有意思的域名是 lavozamericana.info，這個域名現在已經不活動了。但是，我們發現了一個Twitter賬戶和一些推文似乎是想要讓這個域名看起來更合法一點。

• https://twitter.com/voz_americana

有意思的是，這個虛假的twitter身份至少也成功過，下面的一些關注使用者就可能上當了。雖然這個網站現在已經不活動了，但是Google cache表明這個網站曾經是一個釣魚頁面。

圖23-Google cache表明在這個網站上曾就有一個釣魚頁

4.3.3 虛假的反對派活動

我們發現有很多目標都接收到了來自movimientoanticorreista.com的郵件和資訊，包括在前面提到的攻擊活動1中。在利用木馬攻擊厄瓜多記者的活動中，攻擊者也用到了這個域名。我們發現，與這個域名相關的木馬資訊，都是由movimiento.anti.correista@gmail.com傳送的

另一封反科雷亞活動郵件

4.4 瞭解行動範圍的一個視窗

透過Packrat的一些活動，我們更系統性的瞭解了攻擊活動的範圍。在2015年3月期間，我們觀察到Packrat會定期使用相同的bit.ly連結來進行活動。

• http://bit.ly/1wl3YE2

這個連結是在2014年10月30日建立的。透過檢查這個bit.ly連結的統計資料，我們大致瞭解了這次行動的規模、時間以及點選連結的地理位置分佈。

圖25-行動的規模、時間以及點選連結的地理位置分佈

大部分連結是在厄瓜多境內點選的，其他的還有阿根廷、德國、美國、西班牙、烏拉圭和委內瑞拉。其中沒有巴西這一點並不意外，因為攻擊者如果要攻擊巴西，會使用葡萄牙語的網站。藉此我們就能夠間接地瞭解Packrat都會攻擊哪裡的目標。

大部分點選（322次）是直接的點選連結，而不是透過分享點選的。這個bitly連結的點選大部分都不在社交網站上，因為Packrat沒有使用社交媒體來傳播。

4.5 注意：在眾多的釣魚活動中，並不是互相都有聯絡的

透過這次調查，我們發現了一些釣魚活動利用西班牙語的釣魚資訊攻擊了Packrat曾經攻擊過的一些個人目標，但是我們有各種理由相信，這些活動與Packrat沒有聯絡。其中一次很引人注意的活動利用了gmail.com.msg07.xyz ，並偽裝成了Gmail的賬戶通知。通常，這類資訊會顯示為來自no-responder@supportgmai1.com這樣的地址。有時候，一些目標每隔幾周就會收到這樣的資訊。

0x05 可能是為了欺騙目標

---

Packrat的域名並不都是為了傳播木馬，或盜取受害者的密碼。有幾個域名偽裝成了新聞網站的樣子，上面的一些政治性內容也是原創的。至少有兩個網站是為了針對委內瑞拉，有1個是為了針對厄瓜多。

我們沒有發現任何證據能證明這三個網站會傳播木馬或釣魚。可能這些網站還有其他用途。

5.1 反查韋斯-非常怪異的pancaliente.info

注意：在我們公佈這份報告前Pancaliente.info已經下線了，但是可以透過Google cache檢視。第二個域名chavistas24.com仍然線上。

在198.12.150.249上，最有意思的一個域名就是pancaliente.info。打眼一看，這是一個專注於委內瑞拉的新聞和資訊網站。不同於這個IP上的其他網站，我們在這個網站上發現了很多原創的新聞內容 。

無論如何，這個網站與其他域名有很多聯絡。雖然這個域名的註冊資訊被隱藏的，但是其他的釣魚網站使用了相同的註冊郵箱。

雖然pancaliente.info 的WHOIS資訊受到保護，但是還可以驗證其註冊。

圖26-在2015年10月出現的 Pan caliente 網站

透過更細緻的檢查，我們發現有網站的內容大都是為了吸引反對查韋斯黨派的委內瑞拉人，無論是國內還是國外。網站上的有些報導很有意思，因為他們只介紹說這些是個人檔案，但是沒有透露這些文件的來源。

在其他的一些例子中，這個網站還報導了一些所謂的“洩露”檔案。其中的一些內容都與PSUV相關。很多報導中都涉及到了委內瑞拉境內犯罪海外政體的外籍專家，尤其是離散在西班牙的猶太人。

PanCaliente也在其他地方有引用，比如Sidesahre上的一份洩密檔案。其他的線上新聞網站也引用過他們的報導。

雖然看似有很多內容，但是PanCaliente的文章中沒有署名。雖然這個網站與一個Twitter賬戶(https://twitter.com/pancalienteve)的活動很密切，但是相關的Facebook賬戶(https://twitter.com/pancalienteve)卻很少。透過WayBack Machine就能明白，PanCaliente最近才開始活躍。

圖27-PanCaliente在Wayback Machine 上的顯示

有趣的是，這個網站上最先公佈的一些報導是當這個網站還叫做“Venezuela365.com”的時候編寫的。

圖28-網站早期的標誌，還可以在網站的目錄結構中看到

圖29-現在的PanCaliente 標誌

我們還可以在網上看到這個網站更換標誌的資訊。另外，有一篇報導中還是引用了網站 venezuela365。有趣的是，第一份報導中還提到了一些“秘密”資訊，包括重新制作發票，並沒有解釋其來源。

• http://pancaliente[.]info/los-negocios-secretos-de-leocenis-garcia-y-gonzalo-tirado/

這個頁面源中還包括有venezuela365.com

• “http://venezuela365.com/wp-content/uploads/2014/10/tirado-g-300×169.jpg“

現在，一個名稱相同的影像出現在了pancaliente.info的相同目錄下。

venezuela365.com域名是DomainsByProxy註冊的，但是先前的WHOIS資訊中顯示註冊人是Sistekon Corp。Sistekon Corporation現在似乎不用了，但是關於Sistekon Corporation的資訊在archive.org上還有，這家公司主要是開發IT軟體和銷售安全解決方案。考慮到這個域名是在2013年過期的，但是在2014年重新註冊，而pancaliente.info幾乎在同一時間註冊，這兩者之間的聯絡可能是巧合。

我們沒有發現有證據能表明PanCaliente或venezuela365曾經用於傳播木馬或執行釣魚活動。

5.2 親查韋斯:Chavistas 24.com

域名 chavistas24.com似乎是一個支援委內瑞拉前總統查韋斯的網站，在這上面有很多支援查韋斯黨派的內容。

圖30-Chavistas24.com上的圖片

Chavistas24.com 同樣有相關的Twitter賬號來傳送推文，主要是引用了網站上發表的文章。

• https://twitter.com/chavistas24/

圖31-Chavistas 24的Twitter

我們沒有發現有證據能表明chavistas24.com曾經用於傳播木馬或執行釣魚活動。

5.3 搜尋警察?

Packrat似乎對心懷不滿的厄瓜多警察很感興趣，他們為此還創辦了一個-Los Desvinculados網站(justicia-desvinculados.com)和社交媒體身份。這個網站中也有登入板塊，有關厄瓜多政府的新聞和報導。

此前，厄瓜多警方就曾經抗議福利太差，他們也是目前對厄瓜多總統科雷亞威脅最大的一股力量。

圖23-Los Desvinculados網站

下面是相關的twitter賬號 (twitter.com/justdesvincula2)。

圖33-Desvinculados Twitter 頁面

和前兩次活動一樣，我們沒有發現有證據能表明Justicia Desvinculados曾經用於傳播木馬或執行釣魚活動。

0x06 歸屬判斷面臨的挑戰

---

本文中提出的證據表明，Packrat是一個有組織，有長期執行攻擊活動能力，攻擊目標有明顯地區特徵的小組。那麼Packrat到底是誰呢？在這裡，我們提出了兩種假設。

6.1 假設1: Packrat 有國家資助

6.1.2 目標名單

遭到Packrat攻擊者都是一些有影響力的人物，這些人的活動能對國內和地區性政治造成影響。在厄瓜多和阿根廷，Packrat的攻擊目標有著名的評論家和獨立記者。有趣的是，Packrat還攻擊了厄瓜多議會和政府部門。資料顯示，Packrat經常會攻擊與反對派相關的各種目標。

在其他的活動中，我們發現了一些政治性很強的釣魚、木馬網站、郵件和資訊。Packrat創辦了虛假的政治組織，然後利用相關的身份和網站來發動釣魚攻擊或傳播木馬。這些網站似乎是為了吸引評論家和某些厄瓜多和委內瑞拉的政府成員。我們認為其他國家的一些目標也遭到了資訊，比如巴西，但是我們並不清楚他們是誰。

還有一些目標是該地區的情報或安全部門比較感興趣的。而這些活動的贊助者可能對反對軍力量很感興趣。

6.1.3 傳播錯誤資訊的活動動機

我們發現了大量的虛假網站都涉及到了政治問題，但是很顯然是為了傳播木馬。雖然有些網站與木馬網站共用了相同註冊資訊，但是透過網站上的內容就能區別它們的不同，並且這些網站上沒有惡意檔案或釣魚頁面。

對於這些網站，有三種可能的解釋。首先，這些網站是為了讓那些虛假的組織看起來更可信，從而可以傳播錯誤資訊。第二，這些網站可能是蜜罐，用來吸引或操控目標，然後進行木馬攻擊。最後，這些網站可能是為了收集我們尚不清楚的行動資訊。

我們並不清楚哪個國家會對這些行動感興趣，並支援這些活動。

6.1.4 支付能力

託管、註冊和維護這些基礎設施達七年的成本肯定不低。而建立和維護虛假網站所需要的人力也是成本，尤其是對於那些有原創內容的網站，比如PanCaliente。最後，如此大範圍和定製化的攻擊活動也需要額外的人力。

從這些成本來看，Packrat一定有充足的資源，或者是有資助者來幫他們付錢。我們還沒有發現任何證據能表明他們在攻擊工業、商業或金融部門。考慮到他們的活動成本，我們很難想象，除了某個國家，沒有其他人會既想要這些資訊，還願意給他們付錢。

6.1.5 能證明Packrat“高枕無憂”的線索

在2015年初，首次有報告公佈了Packrat攻擊了Nisman和阿根廷，並暴露了他們的基礎設施。儘管如此，仍然有大量的基礎設施保持線上。從專案角度來看，這樣是說得通的。如果Packrat成功入侵了目標，而關掉這些基礎設施就會導致他們失去對目標的控制。Packrat就必須要重新感染目標，連線到新的主機上。這一過程不僅會浪費時間，並且不容易成功，甚至被檢測到。

如果Packrat害怕處罰，那麼他們很自然地就會撤掉暴露的伺服器。因為如果執法部門掌握了他們的伺服器，那麼就可能會追蹤到他們。

事實上，這些伺服器還線上，這就說明Packrat只擔心自己的行動還能不能繼續，並不擔心政府的追查。我們猜測，他們可能會受到當地政府的保護。

雖然沒有決定性的證據，但是從他們敢威脅Citizen Lab的研究人員來看，他們很自信自己不會被處罰。從他們的表現來看，Citizen Lab的研究員並不是第一個打擾到他們的分析人員。

6.1.6 國家參與的兩種方案

在這一部分，我們提出了兩種可能的國家支援情況。我們會用資料來說明每種情況的可能性。

方案1:贊助者只有一個國家

根據我們的發現，這裡有幾種可能的解釋。有可能Packrat在為一個情報部門工作，從他們的活動中也能看出這家情報機構的目標。這家情報機構可能監視著很多團體，包括他們的對手，比如別國政府。

最明顯的就是ALBA（美洲玻璃瓦聯盟）國家和以及近期的阿根廷，這些國家的領導人達成了政治聯盟，雖然，最近阿根廷大選的總統反對這種關係。同時，厄瓜多和委內瑞拉政府的關係也很緊密。

有人可能認為，Packrat攻擊了厄瓜多的某些政府部門就是決定性的證據，能證明厄瓜多官方與Packrat有牽連。但是，厄瓜多議會和其他政府目標還不能證明厄瓜多政府就是贊助者，但是也不能排除這種可能。

方案2: 贊助者不只有一個國家


地區性目標的範圍和多樣性表明Packrat可能在代表多個政府攻擊敵對力量。例如，Packrat可能有多名客戶，並且使用了相同的基礎設施來進行活動。

6.2 假設2: Packrat 沒有國家贊助

雖然，上面的一些證據能表明有政府在支援Packrat，但是，Packrat的其他活動特徵並不符合這種猜測。在這一部分，我們會列出一些重要的證據：比如Packrat的技術程度不高。我們評估了這些證據，並注意到Packrat也可能沒有國家的贊助。

6.2.1 缺少技術性很強的工具

Packrat使用的木馬主要是能購買到的現有RAT木馬，並不是自己開發的，也不是專門面向政府銷售的高階木馬。另外，這些攻擊者也不會利用漏洞來投放木馬。比如，有些誘餌文件還需要受害者雙擊文件中的圖示。這樣的操作太麻煩了，還有可能會造成攻擊失敗。而政府支援的攻擊者可能會利用更高階的木馬和漏洞。

但是，也並不是說所有與政府相關的攻擊小組就一定會利用高階木馬或漏洞。

雖然，僅僅透過他們使用的商用木馬和沒有利用過漏洞，我們還無法得出結論。不過，確實有一點值得注意：Packrat透過混淆，能有效的繞過檢測，並隱藏自己的身份。

6.2.2: 方案:沒有國家贊助的小組

我們無法迴避的一個可能性就是Packrat是犯罪組織，並沒有國家贊助。從理論上來說，這樣的攻擊小組可能是反對派的支持者，或有其他相關的利益。在南美洲，也有很多強大的非政府團體和幫派，他們絕對有財力來支撐這些行動。無論如何，考慮到Packrat的攻擊目標，我們不理解為什麼非法團體會對這些人感興趣。

還有另一種可能，可能一個有政治野心的非政府團體在負責Packrat。這樣的團體就會對政治聯盟和政府非常感興趣。

6.3 到底哪種猜測是對的呢？

最後，我們認為報告中的資料還不足以判斷到底哪種猜測是對的。但是，能從中Packrat的活動中受益的一定是該地區的一些政府。

0x07 總結

---

在這篇報告中，我們介紹了一次長達七年的活動，這一攻擊活動的目標是幾個拉美國家。雖然在拉美有很多著名的攻擊小組，但是Packrat最顯著的特點就是經常攻擊政治人物、記者等。Packrat還具備有執行長期活動的能力，能不受媒體報導的影響。

Packrat最突出的一點就是，利用了技術不是多強的木馬，維持了多年的活動。從技術的角度看，他們主要依靠的是可以購買到的現有RAT，然後再透過加殼來繞過檢測。他們還透過創辦虛假的組織，來傳播木馬從而感染目標。

即使基礎設施暴露，Packrat也沒有撤下自己的伺服器和域名。這就表明，Packrat非常重視自己的行動。

雖然，我們無法確定Packrat的幕後操縱者，但是我們希望透過曝光他們的活動，鼓勵有更多的人繼續研究下去。

https://citizenlab.org/2015/12/packrat-report/

0x08 附錄

---

附錄B 木馬樣本

附錄C木馬配置

CyberGate RAT配置

Xtreme RAT 配置

Adzok 配置

Adwind 變種配置

附錄D：惡意域名

解析到198.12.150.249的域名

解析到193.105.134.27的域名

enripintos123@outlook.es註冊的域名