HackerNews 编译,转载请注明出处:
据俄罗斯网络安全公司 Positive Technologies 称,被称为 Dark Caracal 的威胁行为者在 2024 年针对拉丁美洲的西班牙语目标发动了攻击,部署了一种名为 Poco RAT 的远程访问木马。
该恶意软件被描述为具备“完整的间谍功能套件”,包括上传文件、截取屏幕截图、执行命令和操纵系统进程的能力。研究人员 Denis Kazakov 和 Sergey Samokhin 在上周发布的技术报告中表示,Poco RAT 通过使用 C++ 代码库中的 POCO 库而得名。
Dark Caracal 自 2012 年以来一直活跃,以其定制的工具和针对特定目标的攻击而闻名。该组织与 CrossRAT 和 Bandook 等恶意软件家族有关联。2021 年,该组织被发现在南美洲的网络间谍活动“Bandidos”中使用 Bandook 恶意软件的新版本。
在最新的攻击中,Dark Caracal 继续关注西班牙语用户,利用与发票相关的网络钓鱼邮件作为起点,这些邮件带有西班牙语编写的恶意附件。分析显示,Poco RAT 的入侵主要针对委内瑞拉、智利、多米尼加共和国、哥伦比亚和厄瓜多尔的企业。
这些附件伪装成各种行业垂直领域的文档,包括银行、制造、医疗保健、制药和物流,以增加其可信度。当受害者打开这些文件时,他们会被重定向到一个链接,该链接会从合法的文件共享服务或云存储平台(如 Google Drive 和 Dropbox)下载一个 .rev 归档文件。
“带有 .rev 扩展名的文件是使用 WinRAR 生成的,最初设计用于在多部分存档中重建缺失或损坏的卷,”研究人员解释道。“威胁行为者将它们重新用作隐蔽的有效载荷容器,帮助恶意软件逃避安全检测。”
归档文件中包含一个基于 Delphi 的投放器,负责启动 Poco RAT,后者随后与远程服务器建立联系,授予攻击者对受感染主机的完全控制。尽管 Poco RAT 本身没有内置的持久性机制,但一旦完成初步侦查,服务器可能会发出建立持久性的命令,或者攻击者可能会利用 Poco RAT 作为跳板来部署主要的有效载荷。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
