网络安全研究人员最近发现了一种新的 Python 恶意软件,该恶意软件以讲鞑靼语的用户为攻击目标,鞑靼语是一种土耳其母语,主要是由俄罗斯及其邻国的鞑靼人使用。基于 Cyble 的恶意软件设计使其可以捕获目标系统的屏幕截图,并通过 FTP(文件传输协议)将其传输到远程的服务器内。
FTP 协议则可以使文件和文件夹通过基于 TCP 的网络(如互联网)从一台主机(目标系统)传输到另一台主机。
该攻击活动背后的威胁行为者就是臭名昭著的 TA866,该组织曾以鞑靼语使用者为目标,并利用 Python 恶意软件开展攻击行动。
TA866如何利用python恶意软件
据CRIL 称,威胁行为者 TA866 使用新型 Python 恶意软件在鞑靼共和国日发动攻击,攻击一直到持续到了 8 月底。
有报告称,一个名为 TA866 的威胁攻击者使用了PowerShell 脚本进行截图并将其上传到了远程 FTP 服务器。
威胁攻击者使用钓鱼电子邮件发送 Python 恶意软件对受害者进行攻击,这些邮件中都包含了一个恶意的 RAR 文件。
该文件包括了两个文件:一个视频文件和一个基于 Python 的可执行文件。
·当加载程序执行后,就会启动一系列的攻击事件。它会从 Dropbox 下载一个压缩文件,其中包含两个 PowerShell 脚本和一个附加的可执行文件。
·这些脚本使得创建使用恶意可执行文件运行的计划活动变得更加容易。据 Proofpoint 称,该威胁攻击者的金融攻击行动被命名为 "Screentime "。
TA866 威胁攻击者及其定制黑客工具的使用
黑客之所以能够实施这些复杂的攻击,是因为他们已经成功地开发了自己的复杂工具和服务,不过值得注意的是,有经济动机的威胁攻击者 TA866 曾针对德国和美国组织开展过类似的攻击行动。
CRIL 声称,威胁者通过 RAR 文件用 Python 工具感染受害者的计算机。然而,它必须首先通过一系列的感染才能启动最终的有效载荷。这其中包括利用鞑靼语将文件名进行隐藏。
威胁行为者利用恶意应用程序向受害者显示诱导信息,同时暗中运行 PowerShell 脚本截图并将其发送到 FTP 站点。
TA866 的后续攻击步骤涉及到部署更多的恶意软件,这其中可能包括 Cobalt Strike beacon、RAT(远程访问木马)、窃取程序和其他有害程序。
考虑到在攻击中所使用的复杂有效载荷和恶意软件,可以断定这绝对不是一个新手组织,而是一群技术娴熟的网络安全人员,这其中包括设计高级恶意软件病毒和有效载荷的专家。
文章翻译自:https://www.cysecurity.news/2023/09/ta866-threat-actor-python-malware.html如若转载,请注明原文地址
