網(wǎng)絡(luò)安全研究人員最近發(fā)現(xiàn)了一種新的 Python 惡意軟件，該惡意軟件以講韃靼語的用戶為攻擊目標，韃靼語是一種土耳其母語，主要是由俄羅斯及其鄰國的韃靼人使用?；?Cyble 的惡意軟件設(shè)計使其可以捕獲目標系統(tǒng)的屏幕截圖，并通過 FTP（文件傳輸協(xié)議）將其傳輸?shù)竭h程的服務(wù)器內(nèi)。

FTP 協(xié)議則可以使文件和文件夾通過基于 TCP 的網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）從一臺主機（目標系統(tǒng)）傳輸?shù)搅硪慌_主機。

該攻擊活動背后的威脅行為者就是臭名昭著的 TA866，該組織曾以韃靼語使用者為目標，并利用 Python 惡意軟件開展攻擊行動。 

TA866如何利用python惡意軟件 

據(jù)CRIL 稱，威脅行為者 TA866 使用新型 Python 惡意軟件在韃靼共和國日發(fā)動攻擊，攻擊一直到持續(xù)到了 8 月底。

有報告稱，一個名為 TA866 的威脅攻擊者使用了PowerShell 腳本進行截圖并將其上傳到了遠程 FTP 服務(wù)器。

威脅攻擊者使用釣魚電子郵件發(fā)送 Python 惡意軟件對受害者進行攻擊，這些郵件中都包含了一個惡意的 RAR 文件。

該文件包括了兩個文件：一個視頻文件和一個基于 Python 的可執(zhí)行文件。

·當加載程序執(zhí)行后，就會啟動一系列的攻擊事件。它會從 Dropbox 下載一個壓縮文件，其中包含兩個 PowerShell 腳本和一個附加的可執(zhí)行文件。

·這些腳本使得創(chuàng)建使用惡意可執(zhí)行文件運行的計劃活動變得更加容易。據(jù) Proofpoint 稱，該威脅攻擊者的金融攻擊行動被命名為 "Screentime "。

TA866 威脅攻擊者及其定制黑客工具的使用

黑客之所以能夠?qū)嵤┻@些復(fù)雜的攻擊，是因為他們已經(jīng)成功地開發(fā)了自己的復(fù)雜工具和服務(wù)，不過值得注意的是，有經(jīng)濟動機的威脅攻擊者 TA866 曾針對德國和美國組織開展過類似的攻擊行動。

CRIL 聲稱，威脅者通過 RAR 文件用 Python 工具感染受害者的計算機。然而，它必須首先通過一系列的感染才能啟動最終的有效載荷。這其中包括利用韃靼語將文件名進行隱藏。

威脅行為者利用惡意應(yīng)用程序向受害者顯示誘導(dǎo)信息，同時暗中運行 PowerShell 腳本截圖并將其發(fā)送到 FTP 站點。

TA866 的后續(xù)攻擊步驟涉及到部署更多的惡意軟件，這其中可能包括 Cobalt Strike beacon、RAT（遠程訪問木馬）、竊取程序和其他有害程序。

考慮到在攻擊中所使用的復(fù)雜有效載荷和惡意軟件，可以斷定這絕對不是一個新手組織，而是一群技術(shù)嫻熟的網(wǎng)絡(luò)安全人員，這其中包括設(shè)計高級惡意軟件病毒和有效載荷的專家。

文章翻譯自：https://www.cysecurity.news/2023/09/ta866-threat-actor-python-malware.html如若轉(zhuǎn)載，請注明原文地址