Lime RAT
LimeRAT是一个简单的远程访问特洛伊木马,它仍然为威胁参与者提供了一系列有害的功能。该威胁旨在感染Windows系统,并具有模块化的组成,可以根据黑客的需要对其进行调整。它可以在受感染计算机上建立后门并执行任意命令。如果得到指示,LimeRAT可以部署加密矿工有效负载或启动加密例程,以类似于勒索软件威胁的方式锁定目标文件类型。此外,所有成功渗透的系统都可以添加到僵尸网络中。
如果这还不够的话,LimeRAT还可以充当屏幕锁或数据收集器,以收集私有数据和文件并将其扩展到其命令和控制(C2,C&C)服务器。首先使用AES加密算法对所有上传的信息进行加密。恶意软件威胁还可以检测到连接到受感染系统的USB驱动器,并使用它们进一步传播自身。
LimeRAT拥有多种避免检测和抗虚拟化技术。它可以扫描在虚拟机(VM)中运行的迹象,并在需要时自行卸载。
通过旧的Excel加密技术进行感染
LimeRAT在最近发现的攻击活动中以只读Excel文档的形式传播。木马文档附加到针对选定目标组的网络钓鱼电子邮件中。使用只读文档而不是锁定文档的决定是有意的。只读文件不需要打开密码,也可以在旧的Excel利用技术中使用。执行此类文件时,Excel将尝试使用嵌入式默认密码-“ VelvetSweatshop”对其进行解密,同时还启用板载宏并允许损坏的有效负载启动其攻击链。该技术的使用可以追溯到2013年,该漏洞利用程序已被指定为CVE-2012-0158。尽管这个问题已经解决很久了,但似乎网络罪犯又一次重蹈覆辙,试图感染新的受害者。
