Sophos揭露Sakura RAT:黑客用后门恶意软件黑吃黑
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
Sophos X-Ops 团队发现了一种名为 Sakura RAT 的后门木马,针对黑客和游戏作弊者进行复杂攻击。该木马伪装成开源项目,存在严重缺陷,并通过 GitHub 扩散。攻击链多阶段,利用多种后门技术,攻击者通过自动化手段伪造活跃开发状态以吸引受害者。Sophos 警告可能还有更多隐情,将持续监控。
🎯
关键要点
- Sophos X-Ops 团队发现名为 Sakura RAT 的后门木马,针对黑客和游戏作弊者进行复杂攻击。
- 该木马伪装成开源项目,存在严重缺陷,代码残缺或抄袭自其他恶意软件。
- 攻击链多阶段,利用 PreBuild 事件秘密下载并安装恶意软件。
- Sophos 追踪到 141 个相关代码仓库,其中 133 个被植入后门,111 个包含 PreBuild 后门机制。
- 攻击者利用脚本小子和业余黑客的好奇心传播恶意仓库,部分媒体无意中扩大了攻击面。
- 攻击链包含四个阶段,涉及 PowerShell 载荷和数据窃取等功能。
- 研究人员发现多种后门技术和变体,提高感染成功率。
- 攻击者通过 GitHub Actions 实现自动提交,伪造活跃开发状态以吸引受害者。
- 攻击者身份仍不明,但与恶意软件分发网络存在关联,可能涉及更多隐情。
- Sophos 将持续监控事件发展,警告可能还有更多未揭示的情况。
❓
延伸问答
Sakura RAT 是什么类型的恶意软件?
Sakura RAT 是一种后门远程访问木马,专门针对黑客和游戏作弊者进行攻击。
Sakura RAT 是如何传播的?
Sakura RAT 伪装成开源项目,通过 GitHub 扩散,利用脚本小子和业余黑客的好奇心进行传播。
Sophos 对 Sakura RAT 的攻击链有何发现?
Sophos 发现 Sakura RAT 的攻击链包含四个阶段,涉及 PreBuild 脚本、PowerShell 载荷和数据窃取等功能。
Sakura RAT 的代码存在什么缺陷?
Sakura RAT 的代码存在严重缺陷,许多组件残缺不全或直接抄袭自其他恶意软件。
攻击者是如何伪造活跃开发状态的?
攻击者通过 GitHub Actions 实现自动提交,使用循环账号伪造贡献记录,以制造定期维护的假象。
Sophos 对事件的后续监控有什么计划?
Sophos 将持续监控事件发展,并警告可能还有更多未揭示的情况。
➡️
