威胁组织正在使用obliquerat发起针对政府目标的攻击-k8凯发游戏

研究人员发现了一种新的远程访问特洛伊木马（rat），这似乎是专门针对政府和外交目标的威胁组织的一种攻击手段。

周四，思科talos的研究人员说，名为obliquerat的恶意软件正在针对东南亚目标的新攻击中进行部署。

最近的竞选活动于2020年1月开始，目前正在进行中。该计划背后的网络罪犯使用网络钓鱼电子邮件作为主要的攻击媒介，恶意的microsoft office文档附加在旨在部署rat的欺诈性电子邮件上。

附件具有比较正式的名称，例如company-terms.doc或dot_jd_gm.doc，这可能是“电信部门_职位描述_总经理”的简称。 

网络钓鱼电子邮件的主体中可能包含打开文件所需的凭据，如果受害者输入了密码并打开了文档，则恶意的vb脚本将立即生效，提取恶意二进制文件并删除可执行文件，该可执行文件充当obliquerat的删除程序。 

每次重新启动受感染的系统时，通过为可执行文件创建启动过程来维护持久性。 

talos认为rat是“简单的”，并且包含典型木马的核心功能，包括能够提取文件和系统数据以传输到命令和控制（c2）服务器的能力。下载和执行其他有效负载的功能，以及终止现有进程的能力。 

但是，一个有趣的功能是，恶意软件会查找特定目录，以获取其中的文件。目录名称c：\ programdata \ system \ dump是硬编码的。 

研究人员说：“ rat通过创建并检查一个名为oblique的互斥体来确保在任何给定时间内，受感染的端点上都只运行其进程的一个实例。”如果端点上已存在命名互斥体，则rat将停止执行，直到下次登录受感染的用户帐户。”

为了避免检测和逆向工程，该恶意软件还将检查系统的名称和信息，以了解pc被沙箱化的线索，例如使用用户名“ test”。

根据talos的说法，rat的传播方式与恶意文档中使用的vba脚本变量之间的相似之处表明，它可能与crimsonrat建立了潜在的联系，crimsonrat以前与同一地区的外交和政治组织的攻击有关。 

talos说：“该活动表明，威胁行为者进行了有针对性的恶意文档分发，类似于在crimsonrat分发中使用的恶意文档。” “但是，突出的是，参与者现在正在分发一个新的rats系列。尽管它在技术上并不复杂，但是obliquerat包含大量功能，可用于在受感染的端点上执行各种恶意活动。 ”