TSCookieRAT
TSCookieRAT是一種遠程訪問威脅,黑客團體以BlackTech的名義對日本的目標加以利用。威脅操作使用誘餌電子郵件誘使目標用戶單擊導致威脅的URL。應當注意的是,TSCookieRAT最初也以PLEAD名稱進行了追踪,但後來的分析表明兩者之間存在某些區別。
該活動中使用的誘餌電子郵件據稱來自日本教育,文化,體育,科學和技術部。電子郵件中提供的URL將下載一個加密的DLL文件,其中包含TSCookieRAT的加載程序組件。然後將DLL文件加載並在內存中執行。然後,通過從活動的指揮與控制(C2,C&C)服務器獲取並執行其他模塊,可以在攻擊的後期擴展威脅的有害功能。所有後期組件也都在內存中運行。
當TSCookieRAT準備開始其威脅操作時,它會向C&C發送HTTP GET請求,然後等待傳入的命令。該威脅使行為者可以對受感染的系統建立重要的控制級別。黑客可以執行任意的shell命令,提取包括驅動器和系統信息的數據,操縱文件系統,並收集敏感信息,例如來自最流行的Web瀏覽器(Chrome,Firefox,Edge,Internet Explorer和Outlook電子郵件客戶端)的密碼。然後,以與第一個HTTP POST請求相同的格式上載響應於收到的命令而收集的結果。
針對日本目標的BlackTech攻擊活動可能會繼續進行,並可能涉及不同的惡意軟件威脅,因此組織應將其網絡安全保持在令人滿意的水平,並在適當的時候實施任何軟件安全補丁。
