【安全资讯】传播STRRAT木马的网络钓鱼活动

猎影实验室 2022-01-24 14:43:12 903人浏览

引言

研究人员发现了一场新的网络钓鱼活动,攻击者冒充全球航运业巨头马士基航运公司(Maersk Shipping),使用虚假的运输诱饵,在受害者设备上安装STRRAT远程访问木马。STRRAT是一种远程访问木马,可以窃取受害者信息甚至伪造勒索软件攻击。

 

简况

电子邮件伪装成马士基航运公司,看似包含有关装运、交货日期更改或虚假购买通知的信息,并包含一个 Excel 附件或伪装成发票相关的链接。如果收件人打开附加的文档,运行的宏代码则会将STRRAT恶意软件安装到受害者的机器上。活动中使用的示例网络钓鱼电子邮件如下:

攻击者使用 Allatori 工具对包含的软件包进行了混淆,以逃避安全产品的检测。STRRAT 感染首先解密配置文件,将恶意软件复制到新目录,然后添加新的 Windows 注册表项以实现持久性。

STRRAT 恶意软件首先收集主机系统的基本信息,例如架构和运行的防病毒工具,并检查本地存储和网络功能。STRRAT 可以执行以下操作:

  • 记录用户击键
  • 可以远程控制操作
  • 从 Chrome、Firefox 和 Microsoft Edge 等浏览器窃取密码
  • 从 Outlook、Thunderbird 和 Foxmail 等电子邮件客户端窃取密码
  • 运行伪勒索软件模块以模拟感染

 

运行伪勒索软件模块以模拟感染一功能很有趣,因为在伪造的勒索软件攻击中并没有文件被加密。因此这一功能可能是为了用来转移受害者的注意力,使其忽略真正的问题,即数据泄露。

 

总结

STRRAT虽然不像一些更广为人知的木马那样著名,但也是一种强有力的威胁,企业需要时刻保持警惕以应对这种威胁。

失陷指标(IOC)4
远程控制RAT STRRAT 钓鱼攻击 其他
    0条评论
    0
    0
    分享
    安恒威胁分析平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。