Bandook RAT概述
安全研究人员最近观察到一种名为Bandook的远程访问木马(RAT)新变种正在通过钓鱼攻击传播,目的是入侵Windows操作系统,这一现象凸显出恶意软件不断演变的特点。
Fortinet FortiGuard实验室于2023年10月发现了这一活动,他们指出恶意软件通过一个嵌入链接的PDF文件分发,该链接指向一个密码保护的.7z压缩文件。
“受害者在使用PDF文件中提供的密码解压恶意软件后,该软件会将其负载注入到msinfo32.exe中,”安全研究员廖培翰表示。
Bandook最初于2007年被发现,是一个成熟的恶意软件,具备众多功能,能够远程控制受感染的系统。
网络安全情报
2021年7月,斯洛伐克的网络安全公司ESET详细揭露了一起网络间谍活动,活动中使用了升级版的Bandook变种,侵入了委内瑞拉等西班牙语国家的企业网络。
Bandook RAT的最新攻击
最新攻击序列始于一个注入组件,该组件旨在解密并将有效载荷加载到msinfo32.exe中,这是一个合法的Windows系统文件,用于搜集系统信息并帮助诊断计算机问题。
恶意软件不仅通过修改Windows注册表来确保在受感染的主机上持久运行,还会与一个命令与控制(C2)服务器建立连接,以获取更多有效载荷和执行指令。
廖培翰补充说:“这些行为大致可以被归类为文件操纵、注册表操纵、下载、窃取信息、执行文件、从C2服务器调用动态链接库(DLL)中的函数、控制受害者的电脑、结束进程以及卸载恶意软件。”
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/bandook-rat-variant-targets-windows-system-security-in-attack.html
