TSCookieRAT
TSCookieRAT是一种远程访问威胁,黑客团体以BlackTech的名义利用它攻击了日本目标。威胁操作使用诱饵电子邮件诱骗目标用户单击导致威胁的URL。应当注意的是,TSCookieRAT最初也以PLEAD名称进行了追踪,但后来的分析表明两者之间存在某些区别。
该活动中使用的诱饵电子邮件据称来自日本教育,文化,体育,科学和技术部。电子邮件中提供的URL将下载一个加密的DLL文件,该文件包含TSCookieRAT的加载程序组件。然后将DLL文件加载并在内存中执行。然后,通过从活动的指挥与控制(C2,C&C)服务器获取并执行其他模块,可以在攻击的后期扩展威胁的有害功能。所有后期组件也都在内存中运行。
当TSCookieRAT准备开始其威胁操作时,它会向C&C发送HTTP GET请求,然后等待传入的命令。该威胁使行为者可以对受感染的系统建立重要的控制级别。黑客可以执行任意的shell命令,提取包括驱动器和系统信息的数据,操纵文件系统,并收集敏感信息,例如来自最流行的Web浏览器(Chrome,Firefox,Edge,Internet Explorer和Outlook电子邮件客户端)的密码。然后,以与第一个HTTP POST请求相同的格式上载响应于收到的命令而收集的结果。
针对日本目标的BlackTech攻击活动可能会继续进行,并可能涉及不同的恶意软件威胁,因此组织应将其网络安全保持在令人满意的水平,并在适当的时候实施任何软件安全补丁。
