叙利亚威胁组织兜售破坏性的 SilverRAT

由柏拉图重新发布

关注： 0

复杂的远程访问木马 SilverRAT 背后的组织与土耳其和叙利亚都有联系，并计划发布该工具的更新版本，以允许控制受感染的 Windows 系统和 Android 设备。

研究人员表示，根据 3 月 1 日发布的威胁分析，SilverRAT vXNUMX（目前仅适用于 Windows 系统）允许构建用于键盘记录和勒索软件攻击的恶意软件，并包含破坏性功能，例如删除系统还原点的能力。总部位于新加坡的 Cyfirma 他们的分析中指出.

SilverRAT Builder 允许多种功能

根据 Cyfirma 的分析，SilverRAT 表明该地区的网络犯罪集团正变得更加复杂。 SilverRAT 的第一个版本的源代码于 10 月份被不明人士泄露，它包含一个构建器，允许用户构建具有特定功能的远程访问木马。

根据 Cyfirma 的分析，更有趣的功能包括使用 IP 地址或网页进行命令和控制、绕过防病毒软件、擦除系统还原点的能力以及有效负载的延迟执行。

根据 Cyfirma 的分析，至少有两名威胁行为者——一名使用“Dangerous silver”，另一名使用“Monstermc”——是 SilverRAT 和之前程序 S500 RAT 背后的开发者。黑客在 Telegram 和在线论坛上进行活动，在这些论坛上销售恶意软件即服务、分发来自其他开发者的破解 RAT，并提供各种其他服务。此外，他们还有一个名为“匿名阿拉伯语”的博客和网站。

“有两个人管理 SilverRAT，”Cyfirma 的威胁研究员 Rajhans Patel 说。 “我们已经能够收集其中一名开发商的照片证据。”

从论坛开始

该恶意软件背后的组织被称为“匿名阿拉伯语”，活跃于中东论坛，例如 Turkhackteam、1877 和至少一个俄罗斯论坛。

Cyfirma 研究团队的威胁研究员 Koushik Pal 表示，除了开发 SilverRAT 之外，该组织的开发人员还按需提供分布式拒绝服务 (DDoS) 攻击。

“自 2023 年 XNUMX 月下旬以来，我们观察到匿名阿拉伯组织的一些活动，”他说。 “众所周知，他们正在使用 Telegram 上宣传的名为‘BossNet’的僵尸网络对大型实体进行 DDOS 攻击。”

虽然中东威胁格局主要由伊朗和以色列国营和国家支持的黑客组织主导，但匿名阿拉伯组织等本土组织继续主导网络犯罪市场。 SilverRAT 等工具的持续开发凸显了该地区地下市场的动态本质。

用于构建木马的 SilverRAT 仪表板。资料来源：Cyfirma

托管检测和响应公司 Critical Start 的网络威胁情报研究分析师莎拉·琼斯 (Sarah Jones) 表示，中东的黑客组织往往多种多样，她警告说，个别黑客组织在不断发展，概括其特征可能会产生问题。

“中东各群体的技术复杂程度差异很大，”她说。 “一些国家支持的参与者拥有先进的能力，而另一些则依赖更简单的工具和技术。”

游戏黑客的门户

根据 Cyfirma 研究人员收集的数据，在匿名阿拉伯组织的已确认成员中，至少有一名是前游戏黑客，其中包括一名黑客的 Facebook 个人资料、YouTube 频道和社交媒体帖子。 20 岁出头，住在叙利亚大马士革，青少年时期就开始从事黑客活动。

通过寻找游戏漏洞而崭露头角的年轻黑客的形象超越了中东的黑客社区。青少年通过创建游戏黑客或对游戏系统发起拒绝服务攻击来开始他们的黑客生涯已成为一种趋势。阿里昂·库尔塔杰，成员 Lapsus$ 组最初是一名 Minecraft 黑客，后来转向攻击 Microsoft、Nvidia 和游戏制造商 Rockstar 等目标。

Cyfirma 的威胁研究员 Rajhans Patel 表示：“我们可以看到 SilverRAT 的开发商也有类似的趋势，”他在威胁分析中补充道：“回顾开发商之前的帖子，可以发现其提供各种第一人称射击 (FPS) 游戏的历史黑客和模组。”

美国国土安全部网络安全审查委员会（CSRB）对重大黑客行为进行事后分析，认为从青少年黑客到网络犯罪企业的持续不断的传播构成了生存威胁。 CSRB 在报告中发现，政府和私营组织应制定全面计划，引导青少年远离网络犯罪。对 Lapsus$ 集团成功的分析攻击“世界上一些资源最充足、防御最严密的公司”。

然而，Critical Start 的琼斯表示，年轻的程序员和精通技术的青少年也经常找到其他方式进入网络犯罪。

“与任何人群一样，黑客是具有不同动机、技能和方法的多元化个体，”她说。 “虽然一些黑客可能会从游戏黑客开始，然后转向更严肃的工具和技术，但我们经常发现网络犯罪分子往往会针对网络防御较弱的行业和国家。”