根据《黑客新闻》的报道,意大利的私人公司和政府机构在6月末和7月初遭到了中国威胁操作APT17的攻击,这个组织也被称为“青铜钥匙”、“极光熊猫”、“氦气”、“TEMPAvengers”、“古木”和“隐藏的猞猁”。此次攻击涉及一种9002 RAT恶意软件的变种。
攻击者利用鱼叉式钓鱼手法,诱使目标用户从一个看似属于意大利政府的域名下载MSI安装程序,伪装为Skype for Business。当该安装程序被启动后,最终会触发9002 RAT恶意软件变种的执行,TG Soft的分析显示。
根据TG Soft研究人员的说法,9002 RAT除了可以进行网络流量监控和截图外,还支持进程管理、文件枚举和进一步的命令执行。研究人员指出:“该恶意软件似乎持续更新,并且还存在无盘变种。它由多种模块组成,根据需要由网络参与者激活,以减少被拦截的可能性。”
外网加速器功能描述网络流量监控追踪和记录网络中传输的数据流截图捕获用户屏幕的图像进程管理管理和监控系统运行的不同进程文件枚举识别并列出系统中的文件和目录命令执行执行来自攻击者的远程命令总的来说,APT17的攻击手段复杂且多变,意大利的相关机构需要提高警惕,确保网络安全。
