思科公司（Cisco）的Talos安全研究人員警告稱，一個威脅行為者正在使用商業(yè)遠程訪問木馬（RATs）對印度政府和軍事人員進行一系列惡意攻擊,。與APT36（又名神話豹和透明部落（ Mythic Leopard and Transparent Tribe））和SideCopy組織的行動相似,，攻擊者使用了Netwire和Warzone （AveMaria） RATs，誘餌圍繞印度國家信息中心（NIC）的Kavach雙因素認證（2FA）應用程序,。APT36和SideCopy此前被歸因為與巴基斯坦有關,，是國家支持的威脅行為組織。

　　作為代號為“盔甲穿孔機”（ Armor Piercer）的新型網(wǎng)絡攻擊行動的一部分,，研究人員觀察到攻擊者使用了已攻陷網(wǎng)站和假域名作為有效載荷托管,，這是一種已經(jīng)與APT36相關聯(lián)的策略。

　　攻擊者以Office文件和歸檔文件的形式向他們選定的目標受害者投遞各種誘餌,，主要偽裝成與印度政府建筑有關的指南和文件,，包括Kavach（印度語“盔甲”）,。

　　作為這些攻擊的一部分，攻擊者還使用服務器端腳本發(fā)送惡意電子郵件,，并使用web shell在受感染的網(wǎng)站上保持隱蔽存在,。

　　在這些攻擊中使用的商用RAT木馬為攻擊者提供了對目標系統(tǒng)的全面控制，還可以用于在淪陷網(wǎng)絡上部署額外的有效負載,。

　　該活動似乎自2020年12月以來一直在進行,，使用攜帶惡意VBA宏的Microsoft Office文檔，旨在獲取和執(zhí)行惡意加載程序,。最后的有效載荷通常是RAT,。

　　在2021年3月和4月之間，下載者被用來獲取和運行RAT有效負載,，在2021年5月,，使用了一個使用誘餌URL的基于c#的下載者，而在6月,，Pastebin被用來承載有效負載,。在整個活動中，經(jīng)過修改的開源項目被用來加載基于,。net的木馬二進制文件,，然后再加載RAT遠控木馬。

　　除了Netwire和AveMaria RAT系列之外,，對手還在被攻陷的系統(tǒng)上部署了基于,。 net的自定義文件枚舉器模塊。

　　Netwire RAT允許攻擊者從瀏覽器竊取憑證,、運行命令,、獲取系統(tǒng)信息、操作文件,、枚舉和終止進程,，以及執(zhí)行鍵盤記錄。

　　AveMaria具有遠程桌面功能,，還可以從網(wǎng)絡攝像頭捕捉圖像,，從瀏覽器和電子郵件應用程序竊取憑證，操作文件,，執(zhí)行命令,，記錄按鍵，枚舉和終止進程,，并部署反向shell,。

　　Talos安全研究人員稱，使用這些RAT木馬對攻擊者有雙重好處——它使歸因變得困難,，并節(jié)省了開發(fā)定制植入程序的成本,。然而,，從2021年7月開始，他們觀察到文件枚舉器與RAT木馬一起部署,。這表明攻擊者正在擴大他們的惡意軟件庫,，把目標對準他們的受害者：印度的軍方和政府人員。