SDBbot RAT
尽管一些黑客组织受政府雇用,并经常在各种活动中进行投标,但其他黑客组织纯粹是出于经济动机。 TAT505组属于后一类。该黑客组织的活动于2017年首次发现,此后一直受到监视。他们主要针对金融行业的业务。 9月7日,他们对瑞典,新加坡,希腊,乔治亚州和其他地方的受害者发动了攻击。 TAT505黑客组织使用的传播方法是包含感染附件的虚假电子邮件。附件经过了精心设计,看起来像合法的Excel文档,因此用户不会感觉到有任何麻烦。如果目标用户打开附件,它将触发启动Get2 Trojan下载程序。该木马程序为将其他恶意软件植入受感染系统铺平了道路。在Get2 Trojan下载程序活动中,有四个单独的威胁充当辅助负载。其中包括SDBbot RAT(远程访问木马)。
能力
当Get2 Trojan下载程序成功将SDBbot RAT植入主机后,远程访问木马将立即连接攻击者的C&C(命令与控制)服务。然后,SDBbot木马将等待TAT505组的指示。该木马具有一系列功能,其中包括:
- 浏览目录。
- 修改目录。
- 查看目录。
- 建立RDP(远程桌面协议)连接。
- 使用Windows命令提示符执行各种命令。
- 劫持该系统,并将其用作其他威胁性操作的代理服务器。
- 拍摄活动窗口和桌面的屏幕截图。
- 录制桌面,选项卡和窗口的视频。
- 激活睡眠模式。
- 重新启动系统。
- 关闭系统。
TAT505不间断-它正在努力开发新的,武器更多的黑客工具。这些邪恶的行为者绝对不可低估。如果要保护系统免受此类威胁的影响,请确保下载并安装合法的防病毒软件套件。另外,不要忘记定期更新系统上的所有软件,以最大程度地减少破坏的机会。
