【安全资讯】研究人员发现了新型信息窃取木马PyMICROPSIA

安恒情报中心 2020-12-16 10:22:43 830人浏览

Unit 42的研究人员一直在追踪威胁组织AridViper,该组织一直针对中东地区。经分析,研究人员发现该组织使用一种与MICROPSIA恶意软件家族有关的新型信息窃取木马,并将其命名为PyMICROPSIA,因为它是基于Python构建的。


攻击者在基础设施中托管两个其他示例,这些示例在PyMICROPSIA部署期间下载并使用。其他示例提供了持久性和按键记录功能。


  PyMICROPSIA 概述


PyMICROPSIA具有丰富的信息窃取和控制功能,包括:
- 文件上传。
- 有效负载下载和执行。
- 浏览器凭证窃取。清除浏览历史记录和配置文件。
- 截屏。
- 键盘记录。
- 压缩RAR文件以获取被盗信息。
- 收集过程信息并终止过程。
- 收集文件列表信息。
- 删除文件。
- 重新启动计算机。
- 收集Outlook .ost文件。结束并禁用Outlook进程。
- 删除,创建,压缩和泄露文件和文件夹。
- 从USB驱动器收集信息,包括文件渗透。
- 声音录制。
- 执行命令。


结论:
AridViper是一个活跃的威胁组织,正在继续开发新工具以强化武器库。PyMICROPSIA与其他现有的AridViper工具(如MICROPSIA)存在多个重叠。经分析发现, PyMICROPSIA的部分功能并未投入使用,这表明攻击者正在积极开发当中。

失陷指标(IOC)35
APT AridViper PyMICROPSIA 远程控制RAT 其他
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。