巴基斯坦黑客用ReverseRat攻击印度电力公司

一项最新研究显示，一名涉嫌与巴基斯坦有关联的威胁行为者一直在打击南亚和中亚地区的政府和能源组织，以便在受损的Windows系统上部署远程访问特洛伊木马。

Lumen的Black Lotus Labs在周二的一份分析报告中说：“大多数表现出妥协迹象的组织都在印度，少数在阿富汗。”。“潜在的受害者与政府和电力公司的垂直部门结盟。”

Some of the victims include a foreign government organization, a power transmission organization, and a power generation and transmission organization. The covert operation is said to have begun at least in January 2021.

这些入侵之所以引人注目，有很多原因，尤其是因为除了其高度针对性之外，对手采用的战术、技术和程序（TTP）依赖于重新调整用途的开放源代码，以及在目标实体所在的同一国家使用受损域来托管其恶意文件。

与此同时，该小组一直在通过修改注册表项来隐藏他们的活动，使他们能够秘密地在目标设备上保持持久性，而不会引起注意。

在解释多步骤感染链时，Lumen指出，该活动“导致受害者下载了两个代理；一个驻留在内存中，而第二个是侧面加载的，从而在受感染的工作站上提供了威胁参与者的持久性。”

攻击始于通过网络钓鱼电子邮件或消息发送的恶意链接，点击该链接后，会从受损域下载包含Microsoft快捷方式文件（.lnk）和诱饵PDF文件的ZIP存档文件。

快捷方式文件除了向毫无戒心的接收者显示良性文档外，还负责从同一个受损网站秘密获取并运行HTA（HTML应用程序）文件。

诱饵文件主要2019冠状病毒疾病描述，伪装成一个用户手册，通过Corin在线门户网站注册和预约COVID-19疫苗，而另外一些人伪装成孟买的SAPEPS，印度军队工程师团的一个团。

不管向受害者显示的PDF文件是什么，HTA文件—；它本身就是一个基于GitHub项目CactusTorch—的JavaScript代码；将32位外壳代码注入正在运行的进程，以最终安装。NET backdoor，名为Reversereat，运行典型的间谍软件，具有捕获屏幕截图、终止进程、执行任意可执行文件、执行文件操作以及将数据上传到远程服务器的功能。

定制开发的框架还附带了第三个组件，其中第二个HTA文件从同一个域下载，以部署开源的AllaKore远程代理，这可能是为了维持对受损网络的访问。

研究人员说：“虽然这一威胁行为体的目标迄今仍在南亚和中亚地区，但事实证明，它们能有效地进入感兴趣的网络。”。“尽管之前依赖于AllaKore等开源框架，但通过开发Svchostt代理和Reversererat项目的其他组件，参与者仍然能够保持效率并扩展其能力。”