研究人员披露了一种使用基于Python的RAT的新攻击活动。被称为PY#RATION的攻击者自2022年8月以来一直在利用RAT，以获得对受损系统的控制。

根据Securix的说法，RAT具有多种功能，允许获取敏感信息。

PY#RATION可以将文件从受感染的主机传输到其C2服务器，反之亦然。

它使用WebSocket来避免检测，并用于C2通信和过滤。

它还捕获剪贴板数据，记录击键，检查是否存在防病毒软件，并执行系统命令。此外，RAT还可以从网络浏览器中提取密码和cookie。

PY#RATION作为部署更多恶意软件的途径，在本次活动中，包括一个基于Python的信息窃取器，用于从加密货币钱包和网络浏览器中窃取数据。

在目前已经检测到RAT的两个版本中（1.0版和1.6版），后者采用了反规避技术。

在较新版本中增加了近1000行代码，以支持网络扫描功能，从而对受损网络进行侦察。

此外，在此版本中，攻击者使用fernet模块将Python代码隐藏在加密层后面。

攻击向量

攻击开始于一封带有ZIP存档的钓鱼电子邮件，其中包含两个快捷方式（.LNK）文件。这些文件伪装成英国驾照的正面/背面图像似乎是合法的。钓鱼诱饵的性质表明，目标可能来自英国或北美。

打开每个LNK文件会从远程服务器获得两个文本文件，随后重命名为BAT文件。它悄悄地在背景中运行，而将一个诱饵图像显示给受害者。

此外，从C2服务器下载另一个批处理脚本，用于从服务器获取额外的有效载荷，例如Python二进制文件（CortanaAssistance[.]exe）。

攻击者使用Cortana（虚拟助手），试图将恶意软件作为系统文件传递。

结论

PY#RATION恶意软件是使用Python开发的，允许它在macOS、Linux和Windows上运行。此外，它还使用了一些策略，如fernet加密来逃避检测。这些因素使其成为跨多个平台的多功能威胁。为了防止此类威胁，建议部署应用程序白名单策略以停止执行未知二进制文件。