Chollima 黑客利用新的 GolangGhost RAT 针对币圈

思科Talos研究人员发现一个名为 Famous Chollima（也称为 Wagemole）的与曹县关联的威胁组织针对 Windows 和 MacOS 设备发起复杂的远程访问木马 (RAT) 活动。

该组织疑似由多个协调单位组成，除了之前记录的基于 Golang 的“GolangGhost” RAT 之外，还推出了一种基于 Python 的变种“PylangGhost”。

Windows 用户遭遇的是 Python 变种，MacOS 系统以 Golang 版本为目标，Linux 用户在最新一波攻击中并未受到影响。

与曹县关联的威胁组织

主要受害者似乎是精通加密货币和区块链技术的专业人士，这清楚地表明攻击者专注于通过窃取凭证和敏感数据来获取经济利益。

正如思科 Talos 的调查所述，千里马威胁组织采用了狡猾的双管齐下的策略来实现他们的目标。

他们的主要方法是创建虚假的招聘面试平台，冒充 Coinbase、Robinhood、Uniswap 和 Parallel Studios 等知名公司。

虚假招聘网站

一些软件工程师、营销专业人员和设计师，会被基于 React 框架构建的技能测试网站的个性化邀请所吸引。

输入个人信息并回答定制问题后，系统会提示用户录制视频采访。

此步骤会欺骗他们执行恶意命令，该命令显示为通过 PowerShell 或 Bash（取决于操作系统）访问摄像头所需的驱动程序安装。

攻击币圈

对于 Windows，该命令会下载一个包含 PylangGhost 模块和 Visual Basic 脚本的 ZIP 文件，以通过重命名的 Python 解释器文件“nvidia.py”解压并启动木马。

在 MacOS 上，类似的感染链传播 GolangGhost 变种。这种“ClickFix”策略是“传染性面试”等更广泛攻击活动的一部分，自 2024 年中期以来一直活跃，利用了人们对职业机会的信任。

从技术上讲，PylangGhost 在功能上与 GolangGhost 相似，具有六个结构化的 Python 模块，用于执行诸如通过注册表项建立持久性、生成唯一的系统 GUID 以及使用 RC4 加密的 HTTP 数据包与命令和控制 (C2) 服务器通信等任务。

RAT 支持从 80 多个浏览器扩展程序进行远程系统控制、文件操作和凭证盗窃，其中包括 MetaMask 等加密货币钱包和 1Password 等密码管理器。

开源情报表明，目前影响有限，受影响的用户数量较少，主要受害者分布在印度，并且根据遥测数据，没有思科客户受到影响。

尽管编程语言不同，但 PylangGhost 和 GolangGhost 之间几乎相同的模块结构和命名约定表明这两个版本背后都有一个紧密结合的开发团队。

技术报告：

https://blog.talosintelligence.com/python-version-of-golangghost-rat/

新闻链接：

https://gbhackers.com/chollima-hackers-target-windows-and-macos/