思科公司（Cisco）的Talos安全研究人員警告稱，一個(gè)威脅行為者正在使用商業(yè)遠(yuǎn)程訪問(wèn)木馬（RATs）對(duì)印度政府和軍事人員進(jìn)行一系列惡意攻擊。與APT36（又名神話豹和透明部落（ Mythic Leopard and Transparent Tribe））和SideCopy組織的行動(dòng)相似，攻擊者使用了Netwire和Warzone （AveMaria） RATs，誘餌圍繞印度國(guó)家信息中心（NIC）的Kavach雙因素認(rèn)證（2FA）應(yīng)用程序。APT36和SideCopy此前被歸因?yàn)榕c巴基斯坦有關(guān)，是國(guó)家支持的威脅行為組織。

　　作為代號(hào)為“盔甲穿孔機(jī)”（ Armor Piercer）的新型網(wǎng)絡(luò)攻擊行動(dòng)的一部分，研究人員觀察到攻擊者使用了已攻陷網(wǎng)站和假域名作為有效載荷托管，這是一種已經(jīng)與APT36相關(guān)聯(lián)的策略。

　　攻擊者以O(shè)ffice文件和歸檔文件的形式向他們選定的目標(biāo)受害者投遞各種誘餌，主要偽裝成與印度政府建筑有關(guān)的指南和文件，包括Kavach（印度語(yǔ)“盔甲”）。

　　作為這些攻擊的一部分，攻擊者還使用服務(wù)器端腳本發(fā)送惡意電子郵件，并使用web shell在受感染的網(wǎng)站上保持隱蔽存在。

　　在這些攻擊中使用的商用RAT木馬為攻擊者提供了對(duì)目標(biāo)系統(tǒng)的全面控制，還可以用于在淪陷網(wǎng)絡(luò)上部署額外的有效負(fù)載。

　　該活動(dòng)似乎自2020年12月以來(lái)一直在進(jìn)行，使用攜帶惡意VBA宏的Microsoft Office文檔，旨在獲取和執(zhí)行惡意加載程序。最后的有效載荷通常是RAT。

　　在2021年3月和4月之間，下載者被用來(lái)獲取和運(yùn)行RAT有效負(fù)載，在2021年5月，使用了一個(gè)使用誘餌URL的基于c#的下載者，而在6月，Pastebin被用來(lái)承載有效負(fù)載。在整個(gè)活動(dòng)中，經(jīng)過(guò)修改的開(kāi)源項(xiàng)目被用來(lái)加載基于。net的木馬二進(jìn)制文件，然后再加載RAT遠(yuǎn)控木馬。

　　除了Netwire和AveMaria RAT系列之外，對(duì)手還在被攻陷的系統(tǒng)上部署了基于。 net的自定義文件枚舉器模塊。

　　Netwire RAT允許攻擊者從瀏覽器竊取憑證、運(yùn)行命令、獲取系統(tǒng)信息、操作文件、枚舉和終止進(jìn)程，以及執(zhí)行鍵盤記錄。

　　AveMaria具有遠(yuǎn)程桌面功能，還可以從網(wǎng)絡(luò)攝像頭捕捉圖像，從瀏覽器和電子郵件應(yīng)用程序竊取憑證，操作文件，執(zhí)行命令，記錄按鍵，枚舉和終止進(jìn)程，并部署反向shell。

　　Talos安全研究人員稱，使用這些RAT木馬對(duì)攻擊者有雙重好處——它使歸因變得困難，并節(jié)省了開(kāi)發(fā)定制植入程序的成本。然而，從2021年7月開(kāi)始，他們觀察到文件枚舉器與RAT木馬一起部署。這表明攻擊者正在擴(kuò)大他們的惡意軟件庫(kù)，把目標(biāo)對(duì)準(zhǔn)他們的受害者：印度的軍方和政府人員。