PY#RATION 老鼠

一場新的攻擊活動已經在野外被發現。威脅行動使用一種新的基於 Python 的惡意軟件，稱為 PY#RATION RAT。與這些遠程訪問木馬 (RAT) 的典型情況一樣，PY#RATION 具有一套全面的有害功能，包括數據洩露和鍵盤記錄。這種威脅的獨特之處在於它使用 WebSockets 進行命令與控制（C2、C&C）通信和滲透，以及它能夠逃避反惡意軟件解決方案和網絡安全措施的檢測。

網絡安全研究人員在一份報告中披露了有關 PY#RATION RAT 的詳細信息。根據他們的調查結果，威脅背後的網絡犯罪分子主要集中在英國或北美的目標，從攻擊中使用的網絡釣魚誘餌來看。

PY#RATION 的攻擊鏈

攻擊始於一封包含 ZIP 存檔的欺騙性網絡釣魚電子郵件。存檔內有兩個快捷方式 (.LNK) 文件，偽裝成所謂的真正英國駕照的正面和背面圖像。打開這些 .LNK 文件中的每一個時，會從遠程服務器檢索兩個文本文件，然後將其另存為 .BAT 文件。

當向受害者顯示誘餌圖像時，有害文件會在系統後台靜默執行。此外，另一個批處理腳本是從 C2 服務器下載的，該腳本獲取其他有效負載，包括名為“CortanaAssistance.exe”的 Python 二進製文件。使用 Microsoft 的虛擬助手 Cortana 意味著攻擊者可能試圖將其損壞的代碼偽裝成合法的系統文件。

PY#RATION RAT 的傷害能力

已檢測到兩個 PY#RATION 特洛伊木馬版本（版本 1.0 和 1.6）。較新的版本包括近 1,000 行附加代碼，其中添加了網絡掃描功能以檢查受感染的網絡，並使用 fernet 模塊在 Python 代碼上添加了一個加密層。此外，威脅還可以將文件從被攻破的主機傳輸到其 C2 服務器，反之亦然。

RAT 可以開始記錄擊鍵、執行系統命令、從 Web 瀏覽器中提取密碼和 cookie、捕獲剪貼板數據並檢測安全軟件的存在。威脅參與者可以利用 PY#RATION 作為部署其他威脅有效載荷的網關，例如另一個基於 Python 的信息竊取程序，明確創建用於從 Web 瀏覽器和加密貨幣錢包中收集數據。