基于Python的PY#RATIONRAT偷偷收集敏感信息

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 基于Python的PY#RATIONRAT偷偷收集敏感信息

640.png


研究人员披露了一项使用基于 Python 的 RAT 的新攻击活动。

被称为 PY#RATION 的攻击者自 2022 年 8 月以来一直在利用 RAT 来控制受感染的系统。


PY#RATION


根据 Securonix 的说法,RAT 具有多种可以收集敏感信息的功能。

PY#RATION 可以将文件从受感染的主机传输到其 C2 服务器,反之亦然。

它使用 WebSockets 来避免检测以及 C2 通信和渗透。

它还会进一步捕获剪贴板数据、记录击键、检查防病毒软件的存在以及执行系统命令。此外,RAT 从网络浏览器中提取密码和 cookie。

PY#RATION 充当部署更多恶意软件的途径,在这次活动中,包括一个基于 Python 的信息窃取程序,用于从加密货币钱包和网络浏览器中窃取数据。


两个版本


已检测到 RAT 的两个版本(版本 1.0 和 1.6),后者具有反逃避技术。

在后来的版本中,增加了近 1000 行代码来支持网络扫描功能,以执行对受损网络的侦察。

此外,在此版本中,攻击者使用fernet模块将 Python 代码隐藏在加密层后面。


攻击载体


攻击始于一封充满 ZIP 存档的网络钓鱼电子邮件,其中包含两个快捷方式 (.LNK) 文件。

这些文件伪装成英国驾照的正面/背面图像似乎是合法的。网络钓鱼诱饵的性质表明预期目标可能来自英国或北美。

打开每个 LNK 文件从远程服务器获取两个文本文件,随后重命名为 BAT 文件。它在后台秘密运行,同时向受害者显示诱饵图像。

此外,另一个批处理脚本是从 C2 服务器下载的,旨在从服务器获取额外的有效载荷,例如 Python 二进制文件(CortanaAssistance[.]exe)。


攻击者使用 Cortana(虚拟助手),试图将恶意软件作为系统文件传递。

PY#RATION 恶意软件是使用 Python 开发的,允许它在macOS 、Linux 和 Windows 上运行。


此外,它使用多种策略(例如 fernet 加密)来逃避检测。这些因素使其成为跨多个平台的多功能威胁。

为了防止此类威胁,建议部署应用程序白名单策略以阻止未知二进制文件的执行。


Securonix 安全公告:基于 Python 的 PY#RATION 攻击活动利用 Fernet 加密和 Websockets 避免检测

640.png

640.png

640.png640.png

640.png


文链接:

https://www.securonix.com/blog/security-advisory-python-based-pyration-attack-campaign/



相关文章
|
2月前
|
Python
Python编程获取当前日期的所属周日期信息
Python编程获取当前日期的所属周日期信息
50 1
|
1月前
|
缓存 监控 Linux
Python 实时获取Linux服务器信息
Python 实时获取Linux服务器信息
|
1月前
|
开发者 Python
Python中__init__.py文件的作用
`__init__.py`文件在Python包管理中扮演着重要角色,通过标识目录为包、初始化包、控制导入行为、支持递归包结构以及定义包的命名空间,`__init__.py`文件为组织和管理Python代码提供了强大支持。理解并正确使用 `__init__.py`文件,可以帮助开发者更好地组织代码,提高代码的可维护性和可读性。
36 2
|
1月前
|
存储 数据采集 数据库
用 Python 爬取淘宝商品价格信息时需要注意什么?
使用 Python 爬取淘宝商品价格信息时,需注意法律和道德规范,遵守法律法规和平台规定,避免非法用途。技术上,可选择 Selenium 和 Requests 库,处理反爬措施如 IP 限制、验证码识别和请求频率控制。解析页面数据时,确定数据位置并清洗格式。数据存储可选择 CSV、Excel、JSON 或数据库,定期更新并去重。还需进行错误处理和日志记录,确保爬虫稳定运行。
|
1月前
|
数据采集 Web App开发 iOS开发
如何利用 Python 的爬虫技术获取淘宝天猫商品的价格信息?
本文介绍了使用 Python 爬虫技术获取淘宝天猫商品价格信息的两种方法。方法一使用 Selenium 模拟浏览器操作,通过定位页面元素获取价格;方法二使用 Requests 和正则表达式直接请求页面内容并提取价格。每种方法都有详细步骤和代码示例,但需注意反爬措施和法律法规。
|
2月前
|
小程序 Python
利用Python编程提取身份证的信息
利用Python编程提取身份证的信息
34 2
|
2月前
|
IDE 开发工具 数据安全/隐私保护
Python编程--实现用户注册信息写入excel文件
Python编程--实现用户注册信息写入excel文件
23 1
|
2月前
|
Python
用 Python 读取照片的 Exif 信息(顺便说说本人的一些想法)
用 Python 读取照片的 Exif 信息(顺便说说本人的一些想法)
96 2
|
2月前
|
Python
Python实现系统基础信息
Python实现系统基础信息
36 0
|
3月前
|
Python Windows
Python:执行py命令,提示: Can‘t find a default Python.
Python:执行py命令,提示: Can‘t find a default Python.