印度政府网络被攻击，一个从暗网购买的开箱即用的恶意木马就能做到

众所周知，强大的恶意软件可以在暗网上购买并相对轻松地使用。思科Talos网络安全研究团队的一份新报告说明了开箱即用的远程访问木马恶意软件的危险程度：自2020年12月以来，一场名为“Armor Piercer”的活动一直在攻击印度政府。

Armor Piercer具有被称为APT36或Mythic Leopard的高级持续威胁（APT）组织的许多特征，据信该组织在巴基斯坦境外开展活动。特别是，该报告引用了与Mythic Leopard使用的类型“非常相似”的诱饵和策略。

另一方面，该报告说，此次发现的RAT木马让人觉得Armor Piercer活动可能不是一个熟练的APT攻击：“发现两个商业RAT系列，称为NetwireRAT（又名NetwireRC）和WarzoneRAT（又名Ave Maria）”是对印度政府和军队发动袭击的幕后黑手。

“与许多犯罪软件和APT攻击不同，该活动使用相对简单、直接的感染链。攻击者没有开发定制的恶意软件或基础设施管理脚本来执行他们的攻击，但使用的暗网购买的RAT并没有降低杀伤力。”Talos在其报告中说。

Talos说，可以在暗网上购买的RAT木马具有广泛的功能集，其中许多允许完全控制受感染的系统，并能够建立立足点以部署其他恶意软件，就像从GUI仪表板部署包和模块一样简单。

与现代恶意软件活动一样，Armor Piercer活动使用恶意的Microsoft Office文档进行感染。该文档带有恶意的VBA宏和脚本，一旦被毫无戒心的用户打开，它就会从远程网站下载恶意软件加载程序。安装程序的最终目标是在系统上放置一个RAT，它可以保持访问，允许进一步渗透到网络中并窃取数据。

Armor Piercer背后的攻击者使用的RAT具有广泛的功能。

NetwireRAT能够从浏览器中窃取凭证，执行任意命令，收集系统信息，修改、删除和创建文件，列举和终止进程，记录密钥，等等。

WarzoneRAT以其令人印象深刻的功能概述为例，这些功能来自暗网广告，可在上面链接的Talos报告中找到。它能够独立于.NET运行，提供对受感染计算机的60FPS远程控制，隐藏的远程桌面，UAC绕过权限提升，从受感染的计算机上传输网络摄像头，从浏览器和邮件应用程序中恢复密码，实时和离线键盘记录器，反向代理，远程文件管理等。

现成的RAT和其他恶意软件不一定是懒惰、缺乏经验或时间短的操作的标志。“现成的产品，例如商品或破解的RAT和邮件程序，使攻击者能够快速实施新的活动，同时专注于他们的关键战术：诱使受害者感染自己。”Talos说。

不知道这次特定的攻击是否可能会转移到印度以外的地方，或者世界其他地方是否正在使用类似的策略。开箱即用的恶意软件的威胁仍然存在，无论组织位于何处：它很容易获得，相对便宜，如果它足够好以蠕虫进入政府计算机系统，它很可能对你的计算机系统做同样的事情。