思科公司（Cisco）的Talos安全研究人員警告稱，一個威脅行為者正在使用商業(yè)遠程訪問木馬（RATs）對印度政府和軍事人員進行一系列惡意攻擊。與APT36（又名神話豹和透明部落（ Mythic Leopard and Transparent Tribe））和SideCopy組織的行動相似，攻擊者使用了Netwire和Warzone （AveMaria） RATs，誘餌圍繞印度國家信息中心（NIC）的Kavach雙因素認證（2FA）應用程序。APT36和SideCopy此前被歸因為與巴基斯坦有關，是國家支持的威脅行為組織。

　　作為代號為“盔甲穿孔機”（ Armor Piercer）的新型網絡攻擊行動的一部分，研究人員觀察到攻擊者使用了已攻陷網站和假域名作為有效載荷托管，這是一種已經與APT36相關聯的策略。

　　攻擊者以Office文件和歸檔文件的形式向他們選定的目標受害者投遞各種誘餌，主要偽裝成與印度政府建筑有關的指南和文件，包括Kavach（印度語“盔甲”）。

　　作為這些攻擊的一部分，攻擊者還使用服務器端腳本發(fā)送惡意電子郵件，并使用web shell在受感染的網站上保持隱蔽存在。

　　在這些攻擊中使用的商用RAT木馬為攻擊者提供了對目標系統(tǒng)的全面控制，還可以用于在淪陷網絡上部署額外的有效負載。

　　該活動似乎自2020年12月以來一直在進行，使用攜帶惡意VBA宏的Microsoft Office文檔，旨在獲取和執(zhí)行惡意加載程序。最后的有效載荷通常是RAT。

　　在2021年3月和4月之間，下載者被用來獲取和運行RAT有效負載，在2021年5月，使用了一個使用誘餌URL的基于c#的下載者，而在6月，Pastebin被用來承載有效負載。在整個活動中，經過修改的開源項目被用來加載基于。net的木馬二進制文件，然后再加載RAT遠控木馬。

　　除了Netwire和AveMaria RAT系列之外，對手還在被攻陷的系統(tǒng)上部署了基于。 net的自定義文件枚舉器模塊。

　　Netwire RAT允許攻擊者從瀏覽器竊取憑證、運行命令、獲取系統(tǒng)信息、操作文件、枚舉和終止進程，以及執(zhí)行鍵盤記錄。

　　AveMaria具有遠程桌面功能，還可以從網絡攝像頭捕捉圖像，從瀏覽器和電子郵件應用程序竊取憑證，操作文件，執(zhí)行命令，記錄按鍵，枚舉和終止進程，并部署反向shell。

　　Talos安全研究人員稱，使用這些RAT木馬對攻擊者有雙重好處——它使歸因變得困難，并節(jié)省了開發(fā)定制植入程序的成本。然而，從2021年7月開始，他們觀察到文件枚舉器與RAT木馬一起部署。這表明攻擊者正在擴大他們的惡意軟件庫，把目標對準他們的受害者：印度的軍方和政府人員。