据Kaspersky的全球研究和分析团队(GReAT)发现,中国黑客组织IronHusky正在使用升级版MysterySnail远程访问木马(RAT)恶意软件攻击俄罗斯和蒙古的政府组织。来源。
研究人员在调查最近的攻击时发现,攻击者通过伪装成Word文档的恶意MMC脚本部署了RAT恶意软件,该脚本下载了第二阶段的有效载荷,并在受感染系统上获得了持久性。
其中一个恶意有效载荷是一个不明中介后门程序,帮助在指挥和控制服务器与被黑设备之间传输文件,运行命令行,创建新进程,删除文件等。Kaspersky称:“在我们的监测中,这些文件留下了MysterySnail RAT恶意软件的痕迹,这是一种我们在2021年描述过的植入物。在观察到的感染案例中,MysterySnail RAT被配置为服务以在受感染机器上持久存在。”
最近的攻击表明,攻击者部署了重新设计的、更轻量化的MysterySnail RAT版本,这个版本只有一个组件,因此我们称之为MysteryMonoSnail。升级版RAT恶意软件支持数十条命令,允许攻击者管理受感染设备上的服务、执行命令行、生成和终止进程、管理文件等。
这种最新的后门版本与Kaspersky于2021年8月底首次检测到的原始MysterySnail RAT类似,当时IronHusky黑客组织在俄罗斯和蒙古的广泛间谍攻击中部署了该恶意软件。
该报告来源。