KHRAT木馬利用「湄公河綜合水資源管理項目」釣魚軟體橫掃柬埔寨

KHRAT已經對自身技術及手段進行升級，旨在入侵更多PC設備——不過種種跡象表明其背後似乎隱藏著某種政治目的。

E安全9月6日訊 KHRAT木馬再度襲來，此番更攜新型功能及入侵手段以衝擊柬埔寨民眾。

這一遠程訪問木馬（簡稱RAT）早已被安全業界發現，但自今年以來，其開始出現更多現代化變種。

KHRAT木馬具體攻擊過程

根據Palo Alto Networks公司旗下Unit 42安全小組的調查，KHRAT目前被威脅活動分子用於對付柬埔寨民眾，其目標則包括入侵目標PC、竊取包括系統語言及IP地址在內的各類信息，同時利用鍵盤記錄、截屏以及遠程shell訪問等方式實施間諜活動。

該小組在一篇相關博文中解釋稱，最近幾個月來KHRAT的活躍度有所提升，而首例針對柬埔寨國民的攻擊則發現於今年6月。

KHRAT目前正通過新型垃圾郵件與網路釣魚活動進行部署，並在欺詐性電子郵件的附件當中利用湄公河綜合水資源管理項目（簡稱MIWRMP）內容作為引導受害者的誘餌。該項目由世界銀行所資助，項目總金額高達數百萬美元，當前目標在於改善柬埔寨東北部的水利與漁業管理成效。

用於傳播該RAT的惡意文檔之一被命名為《Mission Announcement Letter for MIWRMP phase three implementation support mission, June 26-30, 2017(update).doc》（MIWRMP第三階段實施支持計劃通知書，2017年6月26日至30日（更新）），其中提及該項目的當前設計工作內容。

然而其附件卻與某俄羅斯IP地址相關聯，且使用到update.upload-dropbox[.]com域名以使得受害者誤以為其訪問的是合法的Dropbox雲存儲服務。

另外，該惡意軟體亦被託管在柬埔寨政府的網站上，目前已證明該域名確有遭到入侵。

一旦被下載及打開，該惡意Word文檔即會宣稱用戶的Office版本與其無法兼容，此後提供的鏈接將在用戶點擊後允許執行包含木馬的宏內容。

接下來，KHRAT會部署其它惡意代碼有效載荷、修改Windows註冊表並通過強制微軟Word將該文檔添加至最近打開文檔列表中的方式重新執行該木馬以實現持久性。

該木馬還利用合法的regsvr32.exe程序掩蓋其惡意活動，具體包括運行一系列正常任務並創建調用函數以運行JavaScript代碼。

在木馬的投放代碼當中，研究人員還發現代碼中包含一條指向某博客的鏈接，而該博客在中國最大的IT社區和服務平台CSDN（為軟體開發者和IT從業者提供學習及知識和信息共享）上註冊，其博客中包含與惡意軟體的點擊追蹤系統「幾乎完全相同」的示例代碼。

攻擊者可監控哪些人在訪問該網站

研究人員們指出，「probe_sl.js當中的JavaScript代碼採用有點擊追蹤手段，意味著攻擊者可以監控哪些人在訪問該網站。這一機制也可能被用於進行惡意軟體的後期控制與工具分發，具體措施為僅面向符合條件的受害者或者脆弱系統發送請求響應，而直接棄用其它可能來自安全研究人員的請求。」

Palo Alto Networks公司認為，KHRAT背後的威脅分子已經對該木馬進行了升級，包括向其中添加針對性魚叉釣魚與點擊追蹤機制，旨在成功入侵其感興趣的柬埔寨國內目標。

考慮到該釣魚郵件在內容方面的政治特性，相關惡意活動的目標很可能在於打擊政治對手或者干擾政治活動。

研究人員們解釋稱，「最近的惡意活動突出證明，社交工程技術開始以更為細化的方式被應用於全國性活動當中，具體包括左右人們的輿論傾向等。研究人員認為，這款惡意軟體所使用的基礎設施以及TTP（即戰術、技術與規程）證明其背後存在著一個更為複雜的威脅分子集團。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！