網絡安全研究人員最近發現了一種新的 Python 惡意軟件,該惡意軟件以講鞑靼語的用戶爲攻擊目标,鞑靼語是一種土耳其母語,主要是由俄羅斯及其鄰國的鞑靼人使用。基于 Cyble 的惡意軟件設計使其可以捕獲目标系統的屏幕截圖,并通過 FTP(文件傳輸協議)将其傳輸到遠程的服務器内。
FTP 協議則可以使文件和文件夾通過基于 TCP 的網絡(如互聯網)從一台主機(目标系統)傳輸到另一台主機。
該攻擊活動背後的威脅行爲者就是臭名昭著的 TA866,該組織曾以鞑靼語使用者爲目标,并利用 Python 惡意軟件開展攻擊行動。
TA866 如何利用 python 惡意軟件
據 CRIL 稱,威脅行爲者 TA866 使用新型 Python 惡意軟件在鞑靼共和國日發動攻擊,攻擊一直到持續到了 8 月底。
有報告稱,一個名爲 TA866 的威脅攻擊者使用了 PowerShell 腳本進行截圖并将其上傳到了遠程 FTP 服務器。
威脅攻擊者使用釣魚電子郵件發送 Python 惡意軟件對受害者進行攻擊,這些郵件中都包含了一個惡意的 RAR 文件。
該文件包括了兩個文件:一個視頻文件和一個基于 Python 的可執行文件。
· 當加載程序執行後,就會啓動一系列的攻擊事件。它會從 Dropbox 下載一個壓縮文件,其中包含兩個 PowerShell 腳本和一個附加的可執行文件。
· 這些腳本使得創建使用惡意可執行文件運行的計劃活動變得更加容易。據 Proofpoint 稱,該威脅攻擊者的金融攻擊行動被命名爲 "Screentime "。
TA866 威脅攻擊者及其定制黑客工具的使用
黑客之所以能夠實施這些複雜的攻擊,是因爲他們已經成功地開發了自己的複雜工具和服務,不過值得注意的是,有經濟動機的威脅攻擊者 TA866 曾針對德國和美國組織開展過類似的攻擊行動。
CRIL 聲稱,威脅者通過 RAR 文件用 Python 工具感染受害者的計算機。然而,它必須首先通過一系列的感染才能啓動最終的有效載荷。這其中包括利用鞑靼語将文件名進行隐藏。
威脅行爲者利用惡意應用程序向受害者顯示誘導信息,同時暗中運行 PowerShell 腳本截圖并将其發送到 FTP 站點。
TA866 的後續攻擊步驟涉及到部署更多的惡意軟件,這其中可能包括 Cobalt Strike beacon、RAT(遠程訪問木馬)、竊取程序和其他有害程序。
考慮到在攻擊中所使用的複雜有效載荷和惡意軟件,可以斷定這絕對不是一個新手組織,而是一群技術娴熟的網絡安全人員,這其中包括設計高級惡意軟件病毒和有效載荷的專家。
