研究人员披露了一项使用基于 Python 的 RAT 的新攻击活动。
被称为 PY#RATION 的攻击者自 2022 年 8 月以来一直在利用 RAT 来控制受感染的系统。
PY#RATION
根据 Securonix 的说法,RAT 具有多种可以收集敏感信息的功能。
PY#RATION 可以将文件从受感染的主机传输到其 C2 服务器,反之亦然。
它使用 WebSockets 来避免检测以及 C2 通信和渗透。
它还会进一步捕获剪贴板数据、记录击键、检查防病毒软件的存在以及执行系统命令。此外,RAT 从网络浏览器中提取密码和 cookie。
PY#RATION 充当部署更多恶意软件的途径,在这次活动中,包括一个基于 Python 的信息窃取程序,用于从加密货币钱包和网络浏览器中窃取数据。
两个版本
已检测到 RAT 的两个版本(版本 1.0 和 1.6),后者具有反逃避技术。
在后来的版本中,增加了近 1000 行代码来支持网络扫描功能,以执行对受损网络的侦察。
此外,在此版本中,攻击者使用fernet模块将 Python 代码隐藏在加密层后面。
攻击载体
攻击始于一封充满 ZIP 存档的网络钓鱼电子邮件,其中包含两个快捷方式 (.LNK) 文件。
这些文件伪装成英国驾照的正面/背面图像似乎是合法的。网络钓鱼诱饵的性质表明预期目标可能来自英国或北美。
打开每个 LNK 文件从远程服务器获取两个文本文件,随后重命名为 BAT 文件。它在后台秘密运行,同时向受害者显示诱饵图像。
此外,另一个批处理脚本是从 C2 服务器下载的,旨在从服务器获取额外的有效载荷,例如 Python 二进制文件(CortanaAssistance[.]exe)。
攻击者使用 Cortana(虚拟助手),试图将恶意软件作为系统文件传递。
PY#RATION 恶意软件是使用 Python 开发的,允许它在macOS 、Linux 和 Windows 上运行。
此外,它使用多种策略(例如 fernet 加密)来逃避检测。这些因素使其成为跨多个平台的多功能威胁。
为了防止此类威胁,建议部署应用程序白名单策略以阻止未知二进制文件的执行。
Securonix 安全公告:基于 Python 的 PY#RATION 攻击活动利用 Fernet 加密和 Websockets 避免检测
全文链接:
https://www.securonix.com/blog/security-advisory-python-based-pyration-attack-campaign/
