近日,网络安全公司BlackBerry Cylance的研究人员发现了一个黑客活动,目标是医疗和教育机构,他们使用定制的、基于Python的特洛伊木马恶意软件,让攻击者可以控制Windows系统,从而进行监视、操作及窃取敏感数据。
研究人员将该恶意软件命名为PyXie。原因是其编译代码的文件扩展名使用的是.pyx,而不是通常与Python关联的.pyc。
据了解PyXie RAT的功能主要包括键盘记录、凭据收集、视频录制、cookie盗窃、支持执行中间人攻击以及支持将其他形式的恶意软件部署等,且以上所有功能都可以在其清除可疑活动证据时同步实现,以确保不被发现。
调查显示,该恶意软件自2018年以来一直处于活动状态,并且都被高度定制,这表明在构建方面,其作者已经花费了大量的时间和资源。
攻击者通常会将该恶意软件通过侧向加载技术交付给受害者。该技术主要是通过利用合法应用程序来诱骗受害者。其中最常用的应用之一就是木马版的开源游戏,一旦下载了该木马,它将使用PowerShell提升特权并获得机器的持久性,然后秘密安装恶意负载。
目前,尚不清楚PyXie-RAT的大致攻击范围及其幕后黑手,但能花费如此多的时间和资源对其进行定制升级的,应该是一个资源丰富的网络犯罪集团吧。研究人员已经确定了其针对30多个组织的攻击事件,这些组织主要集中在医疗和教育行业,据悉,已有数百台机器被感染。
研究人员指出,尽管该恶意软件具有复杂的特性,大家依然可以通过标准的网络卫生和企业安全最佳实践来进行自我保护,包括对操作系统和应用程序的修补、端点保护技术、审计、端点和网络活动的日志记录和监视,以及凭据使用的审核等。