“独狼”黑客组织用商品老鼠攻击阿富汗和印度

一场针对阿富汗和印度的新恶意软件攻势正在利用一个影响Microsoft Office的现已修补的20年漏洞，部署一系列商品远程访问特洛伊木马（RAT），使对手能够完全控制受损的端点

Cisco Talos将这场网络活动归因于一名“独狼”威胁行为人，他经营着一家总部位于拉合尔的名为Bunse Technologies的假IT公司，作为进行恶意活动的幌子，同时他也有分享有利于巴基斯坦和塔利班的内容的历史，这些内容可以追溯到2016年

这些攻击通过利用政治和政府主题的诱饵域来工作，诱饵域承载恶意软件有效载荷，感染链利用武器化RTF文档和PowerShell脚本将恶意软件分发给受害者。具体地说，发现的laced RTF文件利用CVE-2017-11882执行PowerShell命令，该命令负责部署额外的恶意软件在机器上进行侦察

CVE-2017-11882涉及一个内存损坏漏洞，该漏洞可能被滥用以运行任意代码。该漏洞据信自2000年以来就存在，微软最终在2017年11月的补丁周二更新中解决了该漏洞

侦察阶段之后是一个类似的攻击链，该攻击链使用上述漏洞运行一系列指令，最终安装了DcRAT和QuasarRAT等商品恶意软件，这些软件具有各种现成的功能，包括远程外壳、进程管理、文件管理、，密钥记录和凭证盗窃，因此攻击者只需付出最小的努力

在网络犯罪行动中，还发现了一个针对Brave、Microsoft Edge、Mozilla Firefox、Google Chrome、Opera、Opera GX和Yandex浏览器的浏览器凭证窃取程序

“这场运动是一个典型的例子，一个个人威胁行为者在一场运动中运用政治、人道主义和外交主题，向受害者提供商品恶意软件，”研究人员说。犯罪软件和APT组织越来越多地利用商品鼠家族感染目标。这些家庭还充当了针对受害者部署额外恶意软件的出色发射台。"