【安全资讯】Poco RAT恶意软件瞄准西班牙语矿业公司
概要:
一种新的恶意软件威胁Poco RAT正在崛起,主要针对拉丁美洲的西班牙语公司,尤其是矿业公司。该恶意软件由网络安全公司Cofense在2024年初首次发现,旨在渗透企业网络并为恶意行为者建立后门。主要内容:
Poco RAT的分发主要通过伪装成财务通信的欺骗性电子邮件进行。这些电子邮件通常包含指向托管在Google Drive上的恶意7zip档案的链接,一旦打开,就会释放Poco RAT的有效载荷。尽管最初专注于矿业部门,Cofense的报告显示,Poco RAT恶意软件已扩展到其他行业,包括制造业、酒店业和公用事业。Poco RAT以其反分析功能和依赖POCO C++库而闻名,这有助于其逃避检测。尽管如此,RAT可执行文件的平均检测率为38%,档案为29%。该恶意软件广泛使用元数据并检查调试环境,以增强其反检测策略。Poco RAT作为一个Delphi编写的可执行文件(.exe)交付,通常包含过多的Exif元数据,从随机公司名称到版本号不等。
执行后,它通过注册表键建立持久性,并注入到合法的Windows进程grpconv.exe中,该进程在现代系统中很少使用。然后,恶意软件连接到其位于94[.]131[.]119[.]126的指挥与控制(C2)服务器,通过端口6541、6542或6543进行通信。有趣的是,Poco RAT的C2通信是选择性的,仅响应地理位置在拉丁美洲的感染系统。这种选择性方法可能表明一种有针对性的攻击策略或试图逃避更广泛的检测。
随着Poco RAT继续发展和传播,企业必须保持警惕,加强防御,以保护其关键资产和数据。
0条评论
看了这么久,请
登录
,对他说点啥~
0
0
分享
微信扫一扫分享