思科Talos的研究人员断定:韩国用户再次遭到新型恶意RAT(远程管理工具)的攻击,并将其命名为——ROKPAT。
今年二月份,网络安全研究人员曾报告过一起攻击事件,攻击者劫持韩国政府网站并利用宏负载 (macro-laden) 文件散播恶意软件,对韩国语言文字处理器Hangul实施攻击。
本周一公布的最新攻击事件中,攻击者再次利用网络钓鱼电子邮件中的Hangul文件携带病毒,本次的罪魁祸首则是ROKRAT。
该恶意RAT利用Twitter、Yandex和Mediafire这些“全球难以禁用”的合法商务工具进行指挥控制以及数据渗漏,并在采用HTTPS加密传输,导致防火墙难以发挥作用。
如果RAT发现自己被安装在Windows XP系统上,便会让自己处于无限睡眠状态;一旦开始执行,它就会检查受害者的进程列表,查看系统中是否运行着Wireshark这类杀毒或分析工具。
Talos指出:在执行阶段,如果发现系统发现运行有该类进程,恶意软件会跳转到一个假函数中,进而产生虚假的HTTP流量。另外我们发现,如果恶意软件处于调试中或未在HWP文件中执行(即双击二进制程序),亦或OpenProcess()函数在父进程中成功运行,也会导致调用上述假函数”。
如果在沙盒中执行,ROKPAT 会试图通过向Amazon和Hulu发送一连串请求以隐藏自己。
与Twitter/Yandex/Mediafire的指挥控制连接相同,恶意RAT也包括一个截图上传和键盘记录组件。
ROKRAT感染技术的重点在于利用了老式封装PostScript漏洞 (CVE-2013-0808)。该恶意文件包括伪装成Hangul文件的恶意代码。
原文链接:
http://www.theregister.co.uk/2017/04/05/rokrat_malware/
感谢观看!本期到此结束,更多资讯、干货请关注“e安在线”官网网站。
免责声明:
本公众号的海外版块中所有文章及图片出于传递更多信息之目的,属于非营利性的翻译转载。如无意中侵犯了某个媒体或个人的知识产权,请联系我们,我们将立即删除。其他媒体、网络或个人从本网下载使用须自负版权等法律责任。
,
