近日,一款名为GravityRAT的远程访问木马因其复杂的逃避技术和广泛的攻击目标,再次引起安全研究人员的关注。这款恶意软件自2016年开始活跃,其攻击范围已从最初的Windows系统,扩展到了Windows、Android和macOS三大主流平台。它的主要攻击目标锁定在政府、军事及国防承包商等敏感机构,其中印度相关机构的人员遭受的威胁尤为严重。
GravityRAT通常将自己伪装成合法的应用程序,例如即时通讯或文件共享工具,或者通过钓鱼邮件进行传播。一旦用户下载并运行了这些伪装程序,木马便会悄无声息地植入设备,开始大肆窃取敏感数据。其窃取的数据类型非常广泛,包括文档、照片、即时通讯消息,甚至是WhatsApp的聊天记录备份。所有被窃取的信息都会被发送到攻击者控制的远程服务器上。
更值得深入研究的是它高超的逃避检测能力。安全分析平台Any.Run的研究人员发现,GravityRAT采用了一系列精妙的手段来规避沙箱等安全分析环境。其中,一个引人注目的技巧是通过检查CPU温度来识别虚拟环境。
该木马会查询Windows管理规范中的 MSAcpi_ThermalZoneTemperature 条目来获取温度读数。由于主流的虚拟化平台(如Hyper-V、VMware、VirtualBox等)通常不支持或不会完整模拟此功能,往往会返回错误信息。一旦GravityRAT捕获到此类错误,便会判定自己正处于沙箱分析环境中,从而立即停止恶意活动,以此隐藏其真实行为意图。
除了温度检测,这款木马还会执行多达七项环境检查。这些检查包括查验BIOS版本、寻找虚拟化软件痕迹、核对CPU核心数量以及验证与虚拟系统关联的MAC地址等。只有当它确认自己身处真实的用户系统后,才会创建计划任务以实现持久化驻留,确保能够长期控制受感染的设备。这种对恶意软件分析环境的敏锐感知,使其具备了极强的隐蔽性。
在Android平台上,GravityRAT则化身为“Speak Freely”、“BingeChat”、“Chatico”等看似提供安全加密通信的虚假应用。这些应用会收集手机的SIM卡信息、短信内容、通话记录,以及 .jpg、.pdf、.txt 等多种格式的本地文件。数据被收集后,会被打包成ZIP压缩包,然后通过加密的HTTPS连接传输到攻击者的服务器。
攻击者使用一个名为 GravityAdmin 的集中式管理工具,来统一操控所有被感染的设备。他们还能以FOXTROT、CLOUDINFINITY、CHATICO等不同的代号来管理各自独立的攻击活动。这种高度组织化、工具化的运作模式表明,GravityRAT的背后是一个资源充足且目标明确的黑客团队。
历史攻击数据显示,仅在2016年至2018年间,印度国防和警察系统就报告了约100起感染案例。而从2022年至2024年的近期攻击活动来看,攻击者仍在持续活跃,并且不断精进其攻击手法。这一威胁的波及范围也已从最初的政军领域,扩大到了教育机构和企业。
面对如此隐蔽且持续进化的高级持续性威胁,安全专家强调,防御方需要借助威胁情报查询与相关的数据馈送,尽可能在攻击链的早期阶段识别和拦截恶意活动。同时,普通用户也应提高警惕,谨慎下载来源不明的应用程序与邮件附件。
资讯来源:cybersecuritynews | 
发表于 昨天 19:07
|
查看: 8|
回复: 0
