KHRAT木馬再度襲來，此番更攜新型功能及入侵手段以沖擊柬埔寨民眾。

這一遠程訪問木馬（簡稱RAT）早已被安全業界發現，但自今年以來，其開始出現更多現代化變種。

KHRAT木馬具體攻擊過程

根據Palo Alto Networks公司旗下Unit 42安全小組的調查，KHRAT目前被威脅活動分子用于對付柬埔寨民眾，其目標則包括入侵目標PC、竊取包括系統語言及IP地址在內的各類信息，同時利用鍵盤記錄、截屏以及遠程shell訪問等方式實施間諜活動。

該小組在一篇相關博文中解釋稱，最近幾個月來KHRAT的活躍度有所提升，而首例針對柬埔寨國民的攻擊則發現于今年6月。

欺詐郵件涉“湄公河綜合水資源管理項目”

KHRAT目前正通過新型垃圾郵件與網絡釣魚活動進行部署，并在欺詐性電子郵件的附件當中利用湄公河綜合水資源管理項目（簡稱MIWRMP）內容作為引導受害者的誘餌。該項目由世界銀行所資助，項目總金額高達數百萬美元，當前目標在于改善柬埔寨東北部的水利與漁業管理成效。

用于傳播該RAT的惡意文檔之一被命名為《Mission Announcement Letter for MIWRMP phase three implementation support mission, June 26-30, 2017(update).doc》（MIWRMP第三階段實施支持計劃通知書，2017年6月26日至30日（更新）），其中提及該項目的當前設計工作內容。

涉及俄羅斯IP地址

然而其附件卻與某俄羅斯IP地址相關聯，且使用到update.upload-dropbox[.]com域名以使得受害者誤以為其訪問的是合法的Dropbox云存儲服務。

另外，該惡意軟件亦被托管在柬埔寨政府的網站上，目前已證明該域名確有遭到入侵。

一旦被下載及打開，該惡意Word文檔即會宣稱用戶的Office版本與其無法兼容，此后提供的鏈接將在用戶點擊后允許執行包含木馬的宏內容。

接下來，KHRAT會部署其它惡意代碼有效載荷、修改Windows注冊表并通過強制微軟Word將該文檔添加至最近打開文檔列表中的方式重新執行該木馬以實現持久性。

該木馬還利用合法的regsvr32.exe程序掩蓋其惡意活動，具體包括運行一系列正常任務并創建調用函數以運行JavaScript代碼。

在木馬的投放代碼當中，研究人員還發現代碼中包含一條指向某博客的鏈接，而該博客在中國最大的IT社區和服務平臺CSDN（為軟件開發者和IT從業者提供學習及知識和信息共享）上注冊，其博客中包含與惡意軟件的點擊追蹤系統“幾乎完全相同”的示例代碼。

攻擊者可監控哪些人在訪問該網站

研究人員們指出，“probe_sl.js當中的JavaScript代碼采用有點擊追蹤手段，意味著攻擊者可以監控哪些人在訪問該網站。這一機制也可能被用于進行惡意軟件的后期控制與工具分發，具體措施為僅面向符合條件的受害者或者脆弱系統發送請求響應，而直接棄用其它可能來自安全研究人員的請求。”

Palo Alto Networks公司認為，KHRAT背后的威脅分子已經對該木馬進行了升級，包括向其中添加針對性魚叉釣魚與點擊追蹤機制，旨在成功入侵其感興趣的柬埔寨國內目標。

或為國家支持型黑客行為

考慮到該釣魚郵件在內容方面的政治特性，相關惡意活動的目標很可能在于打擊政治對手或者干擾政治活動。

研究人員們解釋稱，“最近的惡意活動突出證明，社交工程技術開始以更為細化的方式被應用于全國性活動當中，具體包括左右人們的輿論傾向等。研究人員認為，這款惡意軟件所使用的基礎設施以及TTP（即戰術、技術與規程）證明其背后存在著一個更為復雜的威脅分子集團。”