一个被称为Dark Caracal的攻击者被认定为是 2024 年在针对拉丁美洲西班牙语目标的攻击中部署了名为 Poco RAT 的远程访问木马的幕后黑手。
该发现来自俄罗斯网络安全公司 Positive Technologies,该公司称该恶意软件具有“全套间谍功能”。
研究人员丹尼斯·卡扎科夫 (Denis Kazakov) 和谢尔盖·萨莫欣 (Sergey Samokhin)在上周发布的技术报告中表示:“它可以上传文件、截取屏幕截图、执行命令并操作系统进程。”
Cofense 于 2024 年 7 月记录了Poco RAT ,详细描述了针对采矿、制造、酒店和公用事业行业的网络钓鱼攻击。感染链的特点是使用以金融为主题的诱饵,触发多步骤过程来部署恶意软件。
虽然当时没有将该活动归咎于任何威胁,但 Positive Technologies 表示,它发现该活动与Dark Caracal存在技术重叠。Dark Caracal是一种高级持续性威胁 (APT),以操作CrossRAT 和 Bandook等恶意软件系列而闻名。它至少从 2012 年开始运作。
2021 年,该网络雇佣兵组织与代号为 Bandidos 的网络间谍活动有关,该活动向南美洲的西班牙语国家投放了 Bandook 恶意软件的最新版本。
最新一轮攻击继续以西班牙语用户为目标,利用带有发票相关主题的钓鱼电子邮件作为起点,这些电子邮件带有用西班牙语编写的恶意附件。对 Poco RAT 工件的分析表明,入侵主要针对委内瑞拉、智利、多米尼加共和国、哥伦比亚和厄瓜多尔的企业。
所附的诱饵文件冒充了广泛的垂直行业,包括银行、制造业、医疗保健、制药和物流,试图让该计划更可信。
打开后,这些文件会将受害者重定向到一个链接,该链接会触发从合法文件共享服务或云存储平台(如 Google Drive 和 Dropbox)下载 .rev 档案。
研究人员解释道:“扩展名为 .rev 的文件是使用 WinRAR 生成的,最初设计用于重建多部分档案中丢失或损坏的卷。威胁行为者将它们重新用作隐秘的有效载荷容器,帮助恶意软件逃避安全检测。”
档案中有一个基于 Delphi 的 dropper,它负责启动 Poco RAT,进而与远程服务器建立联系并授予攻击者对受感染主机的完全控制权。该恶意软件因其 C++ 代码库中使用 POCO 库而得名。
Poco RAT 支持的一些命令如下 -
-
T-01-将收集到的系统数据发送到命令和控制 (C2) 服务器
-
T-02-检索活动窗口标题并将其传输到 C2 服务器
-
T-03 – 下载并运行可执行文件
-
T-04 – 将文件下载到受感染的机器
-
T-05 - 截取屏幕截图并将其发送到 C2 服务器
-
T-06-在 cmd.exe 中执行命令并将输出发送到 C2 服务器
研究人员表示:“Poco RAT 没有内置持久性机制。一旦初步侦察完成,服务器可能会发出命令来建立持久性,或者攻击者可能会使用 Poco RAT 作为部署主要有效载荷的垫脚石。”
信息来源:Thehackernews
原文始发于微信公众号(犀牛安全):Dark Caracal 利用 Poco RAT 攻击拉丁美洲的西班牙语企业
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论