功能强大!Quasar木马成黑客“香饽饽”
计算机木马(又名间谍程序)是一种后门程序,常被黑客用作控制远程计算机的工具,很多木马都是基于远控程序开发的,只是增强了隐蔽性和进程保护功能。
Quasar远程访问木马
Quasar是一种公开可用的开源远程访问木马(RAT),主要针对Windows操作系统。Quasar通过恶意附件在网络钓鱼电子邮件中分发。据悉,这个RAT是用C#编程语言编写的。
Quasar最初是由GitHub用户 MaxXor 开发,用于合法用途。然而,该工具此后被黑客用于各种网络间谍活动。Quasar于2014年7月首次发布,名为“xRAT 2.0”,后来于2015年8月更名为“Quasar”。
该远程访问木马使用两种方法来实现自身的持久性——计划任务和注册表项。
恶意功能
Quasar的恶意功能十分强大,主要包括:
管理任务和文件;
下载、上传和检索文件;
终止连接和终止进程;
配置和构建客户端可执行文件;
压缩和加密通信;
执行计算机命令;
打开远程桌面连接;
捕获屏幕截图并录制网络摄像头内容;
撤消代理和编辑注册表
监视用户的行为;
键盘记录和窃取密码。
Quasar木马涉及一系列网络间谍活动
DustSky反政府运动
2017年1月,知名网络安全公司Palo Alto Networks观察到了巴勒斯坦加沙地区发生的一系列网络攻击活动——DustSky,针对中东政府机构。该活动首先在目标设备中安装Downeks下载器,进而通过该下载器部署Quasar木马。
Quasar木马蔓延至乌克兰
2018年1月,攻击者利用Quasar RAT和一个名为VERMIN的自定义恶意软件攻击乌克兰国防部。恶意软件最初通过诱饵文件分发,攻击旨在窃取系统内的机密信息、用户名、击键和剪贴板数据。
Quasar和NetWiredRC木马的捆绑使用
2018年2月,研究人员观察到一起恶意软件活动,该活动通过恶意RTF文件分发Quasar RAT和NetWiredRC RAT,作为最终有效恶意载荷。
该恶意RTF文档中附有包含宏的Microsoft Excel工作表。RTF文档会强制用户启用宏,并在该宏上执行PowerShell命令以下载恶意VBS文件。随后VBS文件终止所有正在运行的Microsoft Word和Excel进程,最后下载有效负载。
APT10使用PlugX和Quasar RAT
2019年5月,enSilo的专家观察到网络间谍组织APT10使用PlugX和Quasar RAT这两款新的恶意软件装载机对东南亚的政府和私人组织发动攻击。这些木马工具会部署恶意文件,如Jjs.exe、jli.dll、Msvcrt100.dll和svchost.bin,以分发其他有效负载。