Noll
James Martin | CNET
Den KHRAT Trojan har upptäckts inriktning medborgare i Kambodja med nya förmågor och vapen.
Remote Access-Trojaner (RÅTTA) har varit i det vilda för lite tid, men detta året, mer moderna varianter har dykt upp.
Enligt Palo Alto Networks Enhet 42 security team, KHRAT för närvarande används av hot aktörer att rikta Kambodjanska medborgare, med det övergripande syftet att förslava Datorer, stjäla information, inklusive system för språk och IP-adress, och spionerar genom användning av keylogging, skärmdumpar, och remote shell access.
I ett blogginlägg, den grupp sade att det har skett en uppgång i den ekonomiska aktiviteten under de senaste månaderna, medan den första våg mot Kambodjanska offer upptäcktes redan i juni.
KHRAT är nu att distribueras via färsk skräppost och phishing-kampanjer, med bedrägliga e-postmeddelanden som innehåller weaponized bilagor hänför sig till Mekong Integrerad Förvaltning av vattenresurser Projektet (MIWRMP), en miljon-dollar system som finansieras av världsbanken som för närvarande byggs ut för att förbättra vatten och förvaltningen av fisket i nordöstra Kambodja.
En skadlig dokument som används för att sprida RÅTTA kallas “Uppdrag Tillkännagivande Brev för MIWRMP fas tre för att stödja tillämpningen av uppdrag, 26-30 juni, 2017(uppdatera).doc,” som hänför sig till projektet i dess nuvarande utformningen.
Den bifogade filen, men kontakter en rysk IP-adress och använder domänen uppdatering.ladda upp-dropbox[.]kom för att lura offer till att tro att de har att ansluta till legitima Dropbox moln lagring tjänst.
Dessutom, det skadliga programmet var också värd för den Kambodjanska Regeringens hemsida på en tid var området äventyras.
När du har hämtat och öppnade, tillverkade Word-dokument och sedan hävdar användarens Office-version inte är kompatibel, så de måste klicka på en länk och tillstånd makro innehåll som utför Trojan.
KHRAT sedan distribuerar ytterligare skadlig kod nyttolast, ändrar Windows-registret, och skapar uthållighet genom att tvinga Microsoft Word för att på nytt köra Trojan bör ett dokument laddas från det senast använda dokument-listan.
Trojanen döljer också sin verksamhet med hjälp av den berättigade regsvr32.exe programmet, planerar en rad oskyldiga utseende uppgifter, och skapar anropa funktioner för att köra JavaScript-kod.
En intressant aspekt av den Trojan som finns inom dropper-kod är en länk till en blogg värd på den Kinesiska Software Developer Network (CSDN) webbplats som innehåller en “närmast identiska” koden med ett klick-system för spårning i malware.
“JavaScript-kod i probe_sl.js använder klicka-tracking-teknik, förmodligen så aktörer kan övervaka vem som besöker deras webbplats,” forskarna notera. “Det kan också vara ett försök att kontrollera distributionen av senare skede skadliga program och verktyg, genom att bara skicka det i ett svar på en begäran från önskad offer eller utsatta system, och släppa in förfrågningar från andra som forskare.”
Palo Alto Networks anser att hotet aktörer bakom KHRAT har utvecklats Trojan omfattar riktade spear phishing och klicka-spårning för att på ett mer framgångsrikt sätt rikta offer av intresse i Kambodja.
Med tanke på den politiska karaktären av spear phishing e-post, kampanjer kan ha som syfte att spionera på politiska rivaler eller störa politiska aktivitet.
“Denna senaste kampanj belyser social ingenjörskonst som används med referens-och detalj med tanke på att rikstäckande verksamhet, sannolikt framkant av människors sinnen,” forskarna säger. “Vi tror att detta malware, den infrastruktur som används, och TTPs (taktik, teknik och procedurer) för att markera en mer sofistikerade hot skådespelare grupp, som vi kommer att fortsätta att noga övervaka.”
Mer säkerhet nyheter
iOS 11: s mest underskattade säkerhet-funktionen? En lösenordshanterare
Android Oreo: Google lägger i fler Linux-kärnan säkerhetsfunktioner
Denna jätte ransomware kampanjen har precis skickat miljoner av skadlig kod att sprida e-post
HackerOne syftar till att betala bug bounty hunters $100 miljoner 2020
0