2018年首次出现的鲜为人知的Dark Caracal APT组织重新浮出水面，开展了一项新的运动重点感染了中美洲和拉丁美洲的电脑。该组织自2022年3月以来一直活跃，感染了十几个国家的数百台Windows电脑。

观察到的最新活动

Lookout Security的研究人员发现，Dark Caracal APT目前正在使用新版本的Bandook间谍软件来攻击Windows系统。

到目前为止，已经有700多台计算机被该恶意软件感染，其中大多数（约75%）位于多米尼加共和国，20%位于委内瑞拉。

这些攻击主要利用水坑技术来隐藏在雷达之下。

关于新的Bandook间谍软件变体

新版本的Bandook间谍软件已更新为148个独特的命令，可感染Windows计算机。

这些命令包括打开网络摄像头、从计算机中添加或删除文件、控制鼠标、捕获屏幕截图、启动远程桌面会话以及下载其他库等功能。

黑客已经从使用GOST进行有效载荷加密的恶意软件的第一阶段转移到使用DES进行第二阶段有效载荷加密。

解密密钥是通过使用RIPEMD-128算法对密码进行散列而从密码中导出的。

总结

调查显示，攻击者正在动态地切换到不同的IP，以感染更多的系统。其中许多IP地址属于消费者ISP网络上的商品路由器。由于该活动仍然活跃，易受攻击的组织必须警惕与威胁行为者和恶意软件相关的IOC，以采取必要的预防措施。