摘要：Cybereason的研究人員Amit Serper正在調查一項攻擊活動，攻擊者利用知名木馬njRat來木馬化多種黑客工具，從而使攻擊者可以完全獲得目標計算機的訪問權限，并用于進行DDoS攻擊及竊取敏感數據等各種活動。在過去的幾年中，此活動背后的威脅行動者在多個網站上發布該經過惡意篡改的黑客工具，以誘騙其他黑客下載。一旦下載并打開文件，攻擊者就可以完全控制受害者的計算機。這種攻擊活動無疑加大了跟蹤溯源的難度，惡意代碼分析者不僅要關注惡意軟件的控制受害計算機的行為，還需要密切關注其本身被監控的行為。

　　Cyber??eason 的研究人員Amit Serper發現，在長達數年的攻擊中，攻擊者正在利用現有的黑客工具從數據庫中竊取數據，其中某些工具旨在通過破解和產品密鑰生成器來解鎖數據庫的完整版本，并注入強大的遠程訪問工具木馬。打開工具后，黑客將獲得對目標計算機的完全訪問權限。攻擊者通過在黑客論壇上發布重新包裝的工具來“誘騙”其他黑客下載。

　　但這不只是黑客針對其他黑客的案例。這些經過惡意重新打包的工具不僅為黑客的系統打開了后門，而且還為黑客已經破壞的任何系統打開了后門。Serper表示：“如果黑客將您的企業設為攻擊目標，并且使用了這些木馬工具，則意味著無論是誰，這些黑客都將有權訪問您的資產?！逼渲邪◤氖录t隊交戰的進攻性安全研究人員。

　　Serper發現，這些迄今未知的攻擊者正在使用功能強大的特洛伊木馬njRat注入并重新包裝黑客工具，攻擊者可以完全訪問目標的桌面，包括文件、密碼、甚至可以訪問其網絡攝像頭和麥克風。該木馬至少可以追溯到2013年，當時它經常被用于對付中東目標。njRat通常通過網絡釣魚電子郵件和受感染的閃存驅動器傳播，但最近，黑客已將惡意軟件注入到休眠或不安全的網站中，以逃避檢測。2017年，黑客使用相同策略在網站上為所謂的伊斯蘭國宣傳單位托管惡意軟件。

　　Serper發現，在最近的這次攻擊中，攻擊者正在使用相同的網站黑客技術來托管njRat。攻擊者破壞了多個所有者未知的網站，以托管數百個njRat惡意軟件樣本以及攻擊者用來控制和控制惡意軟件的基礎結構。Serper表示，將njRat木馬注入黑客工具的過程幾乎每天都會發生，并且可能是自動化的，這表明這些攻擊很大程度上是在沒有直接人為干預的情況下進行的。目前尚不清楚誰是這一活動的的幕后推手，但與可能與越南有一定聯系。

　　惡意軟件分析

　　在查看一些檢測數據時，Serper偶然發現了一種在正在監視的環境中對njRat進行的新檢測。njRat在中東很受歡迎，它的操作員可以劫持受害者的??機器進行鍵盤記錄、截屏、文件操作和滲透、網絡攝像頭和麥克風錄音。盡管njRat是相當普遍的威脅和流行的RAT，但這種特殊感染引起了研究人員的注意。

　　該進程似乎偽裝成合法的Windows應用程序(explorer.exe)。但是，在VirusTotal上檢查其哈希值時，該示例似乎是非常新的，當時只有幾個小時。在受影響的環境中，njRat似乎正在聯系兩個IP地址：其中一個是未知的(capeturk.com)，另一個(anandpen.com)是一個受感染的網站一家印度辦公用品制造商。

　　anandpen.com是一個遭黑客入侵的WordPress網站，可從其內部WordPress目錄之一提供惡意軟件。這是利用易受攻擊的WordPress安裝程序的攻擊者的常見做法。在這種情況下，有效載荷的一個通過送達/wp-includes/images/media/1/explorer.zip上的路徑anandpen.com域。

　　在運行了一些YARA查詢并在與上述兩個IP地址相關的VT上搜索了所有樣本之后，研究人員發現了同一服務器上托管的同一njRat的數十種不同樣本。每個樣本的創建時間都不同，但是它們都托管在同一臺服務器上，并主動針對受害者。

　　如前所述，所有觀察到的樣本(包括正在監視的環境中進行的檢測)都具有合法的Windows進程的名稱，例如svchost.exe或explorer.exe，但所有這些都是從%AppData%內的子目錄執行的。顯然，這是在作惡，但是執行這些操作的根本原因是未知的，因為在部署產品之前，文件已被丟棄到環境中。

　　如何感染

　　在檢查了環境之后，很明顯，在目標計算機上的各種路徑中部署了許多黑客和滲透工具。通過檢查網絡上的哈希，可以看到所有黑客工具在它們旁邊都部署了各種裂縫。工具和裂縫都感染了該njRat活動。通過使用VTGraph將標識的服務器與VT上找到的哈希相關聯，可以看到有很多與此活動相關的樣本：

　　該活動中的njRAT感染途徑是通過破解和木馬黑客工具。Cyber??eason找到了SQLi Dumper的密鑰源-一種用于執行SQL注入和數據轉儲的工具。密鑰生成歸功于RTN，該組織為各種程序編寫了破解程序-盡管RTN參與競選的程度是未知的。然后，可在各種論壇和網站上提供木馬版本，以誘騙其他黑客。

　　Cyber??eason找到了MediaFire來源，其中包含許多破解版本的工具。研究人員從那里發現了一個“ sharetools99”博客站點，該站點提供了許多破解的木馬工具，并鏈接到MediaFire文件共享。Serper 表示，“到目前為止，我們已經找到了偽裝成各種黑客工具或偽裝成Chrome Internet瀏覽器安裝程序的示例。capeturk .com子域大約有700個示例，并且每天有更多樣本添加到各種威脅情報資源中?！?/span>

　　但是，可能其他黑客并不是該活動的唯一目標?！芭cblog.capeturk .com相關的所有示例都針對各種滲透測試和黑客工具，而其他子域則針對Chrome安裝程序，本機Windows應用程序和其他與黑客或滲透測試無關的隨機程序?！?一個示例是偽裝成Nvidia服務的njRAT有效載荷，然而，Cyber??eason尚無法確定其目標可能是誰。

　　初始加載程序是用Visual Basic編寫的PE Net文件。它創建一個新目錄%USER%\ AppData \ Roaming \ Intel Corporation \ Intel(R)Common User Interface \ 8.1.1.7800 \并將其用作暫存目錄。它將文件拖放到該暫存目錄中，直到最終刪除具有隨機名稱的主要njRAT有效負載。

　　活動的范圍，木馬工具的數量以及創建新版本的njRAT的速度很快，Serper暗示攻擊者已創建了惡意軟件工廠。Serper表示：“看來，這一活動背后的威脅行動者每天都在構建其黑客工具的新版本?！?文件編譯可能已經自動化。如果是這樣的話，這可能表明我們可以在將來看到更多的東西，因為犯罪分子越來越多地使用與合法企業用來改善自己的服務相同的技術(在本例中為自動化)。

　　背后的攻擊者

　　直至2018年6月，capeturk.com似乎是一個土耳其游戲網站，致力于著名的Minecraft游戲。capeturk.com域于2018年11月25日到期，并由越南人注冊。在重新注冊后，該域名開始與惡意軟件相關聯，但是，尚不清楚此越南人是否與惡意軟件活動有任何聯系。話雖如此，越南似乎有人在不斷通過將樣本提交給VirusTotal來測試樣本。故研究人員懷疑此人與該越南域名所有者有關：

　　結論

　　這項調查顯示，幾乎每天都會收集和構建近1000個njRat樣本?？梢钥隙ǖ氖?，已經有許多人被該活動感染，但Cybereason研究人員尚無法確定該惡意軟件活動針對的其他受害者。該活動最終使威脅參與者可以完全訪問目標計算機，因此他們可以將其用于進行DDoS攻擊到竊取敏感數據的任何操作。顯然，此活動背后的威脅參與者正在使用多個服務器，其中一些服務器似乎是被黑客入侵的WordPress博客。從多個主機名及DNS數據等來判斷，其他似乎是威脅組織擁有的基礎設施。Cybereason將繼續監視該活動的進一步發展。

　　參考來源

　　【1】https://www.cybereason.com/blog/whos-hacking-the-hackers-no-honor-among-thieves

　　【2】https://techcrunch.com/2020/03/09/hacking-the-hackers/

　　【3】https://www.securityweek.com/hackers-hack-hacking-tools-hack-hackers