据ZNDet报道,最近发现了一个黑客活动,目标是医疗和教育机构,他们使用定制的、基于Python的特洛伊木马恶意软件,让攻击者几乎可以控制Windows系统,从而能够监视操作和窃取敏感数据。被称为PyXie RAT 的远程访问木马的恶意功能包括键盘记录,凭据收集,录制视频,cookie盗窃,执行中间人攻击的能力以及将其他形式的恶意软件部署到受感染系统上的能力。所有这些都是在清除可疑活动的证据以确保恶意软件不被发现的同时实现的。然而,Blackberry Cylance的网络安全研究人员发现并详细描述了这些攻击的痕迹,他们将恶意软件命名为PyXie,因为其编译代码使用“.pyx”文件扩展名,而不是通常与Python关联的“.pyc”。PyXie RAT至少自2018年以来一直处于活动状态,并且高度定制,这表明在构建它方面已经花费了很多时间和资源。Blackberry Cylance研究与情报副总裁Josh Lemos 告诉ZDNet:“定制工具以及它长期以来一直被关注的事实,无疑表明了一种与复杂的网络犯罪行动相一致的模糊和隐秘程度。”该恶意软件通常通过侧向加载技术发送给受害者,该技术利用合法应用程序感染受害者设备。研究人员发现的其中一个应用程序是一款开源游戏的特洛伊木马版本,如果下载了该版本,将开始秘密安装恶意负载,使用PowerShell提升权限并在机器上获得持久性。在多级下载的第三个阶段,PyXie RAT利用代码中称为“Cobalt Mode”的东西连接到命令和控制服务器,并下载最终的负载。下载的这一阶段利用Cobalt Strike(一种合法的渗透测试工具)来帮助安装恶意软件这是一种经常被网络犯罪团伙使用的策略,而且这种策略有助于使攻击更加难以定性。这个特定的下载程序与另一个用于下载Shifu banking特洛伊木马程序的下载程序也有相似之处,不过,它可能只是一个犯罪分子为了自己的目的而获取开源代码或窃取代码的案例。“使用广泛使用的工具(如钴打击)的一个优点是,由于许多不同的威胁行为体以及合法的戊酯都使用它,因此很难确定其归属。由于Shifu banking特洛伊木马的相似性,目前尚不清楚它是否是同一个参与者,或者是否有其他人重用了它的一些代码,”Lemos说。一旦成功安装到目标系统上,攻击者就可以在系统中随意移动并执行命令。研究人员指出,除了被用来窃取用户名、密码和进入系统的任何其他信息外,还有一些PyXie被用来向受损网络发送勒索软件的案例。“这是一种功能全面的RAT,可以用于广泛的目标,参与者根据目标环境的不同会有不同的动机。事实表明,它已与勒索软件一起在少数环境中使用,这表明参与者可能至少在那些情况下要有经济动机。”PyXie RAT攻击的全部范围仍不确定,但是研究人员已经确定了针对30多个组织的攻击,主要是医疗和教育行业,据信已感染了数百台机器。除了可能是资源丰富的网络犯罪集团之外,目前尚不清楚谁是PyXie RAT的幕后黑手,但该活动仍被认为很活跃。但是,尽管恶意软件具有复杂的性质,研究人员表示,可以通过标准的网络卫生和企业安全最佳实践来保护它,包括操作系统和应用程序修补,端点保护技术,审核,端点和网络活动的日志记录和监视以及审核使用凭证。