在最近几周里,Cybaze-Yoroi ZLab的研究人员发现,有人试图向意大利军工企业发送远程访问木马。如果没有安装,它将通过一个硬编码的网址(hxxp://www[.thegoldfingerinc[.]com/images/jre.zip)进行下载。Cybaze-Yoroi ZLab的研究人员表示,这很可能是一个被攻击者黑掉的第三方网站。
JRE.zip文件包含的内容
下载JRE.zip文件之后,恶意程序会将其安装在受感染计算机上。随后,恶意程序会在受感染计算机上添加一个“CurrentVersion\\Run”注册表项,以便在每次计算机重新启动之后都能够自动运行。
恶意程序添加的注册表项
最终有效载荷JRat RAT分析
由带有变量名“duvet”的字符串隐藏的另一层代码包含一个名为“ longText ”变量被用于编码一个可执行JAR包,其中便包含了适用于多个平台(Win/macOS)的JRat远控木马(SHA256:9b2968eaeb219390a81215fc79cb78a5ccf0b41db13b3e416af619ed5982eb4a)。
虽然它是一个全新的变种,但它仍具有典型的JRat远控木马代码结构。
JRat远控木马的结构
虽然攻击者使用了Stajazk VPN服务来隐藏自己的真实位置,但一些IP地址对于Cybaze-Yoroi ZLab的研究人员来说是十分熟悉的,因为它们自2018年10月份以来就经常遭到滥用,以至于他们被研究人员发现只是时间早晚的问题。
以上就是朝夕生活(www.30zx.com)关于“最新恶意电子邮件活动瞄准意大利军工企业,旨在传播JRat远控木马”的详细内容,希望对大家有所帮助!
