Cybereason 的 Amit Serper 在一輪新的惡意軟體活動中發現,通過重新打包被感染的惡意軟體,黑客本身也成為了其他黑客的攻擊目標。此前多年,黑客普遍在利用現有的工具來實施網絡犯罪行動,比如從資料庫中竊取數據、通過破解 / 註冊碼生成器來解鎖試用軟體的完整版等。
njRat 資料圖(來自:Cybereason)
然而功能強大的遠程工具本身,也成為了某些別有用心者的目標。通過注入木馬,製作者可在工具打開後獲得對目標計算機的完全訪問權限。
Amit Serper 表示,攻擊者傾向於在黑客論壇上發布經其重新打包的工具來『誘騙』其他黑客,甚至為已經遭到惡意軟體破壞的系統進一步打開後門。
如果黑客利用這些木馬工具對某企業發動了網絡攻擊(包括從事安全研究工作的白帽),那重新打包攻擊工具的那個人,也能夠訪問到受害者的敏感數據。
據悉,這些迄今未知的攻擊者,正在使用功能強大的 njRat 木馬來注入代碼並重新打包黑客工具,攻擊者可完全訪問目標桌面、文件、木馬、甚至網絡攝像頭和麥克風。
該木馬至少可追溯到 2013 年,當時它經常被用於對付中東地區的目標,多通過網絡釣魚電子郵件和受感染的快閃記憶體驅動器來傳播。
然而最近,黑客已將惡意軟體注入到休眠或不安全的網站中,以逃避檢測。以最近的攻擊為例,可知幕後黑手正在使用相同的黑客技術來託管 njRat 。
Amit Serper 指出,攻擊者破壞了不知誰擁有的幾個網站,以託管數百個 njRat 惡意軟體樣本、以及攻擊者用於控制的基礎結構。
更糟的是,這種將 njRat 木馬注入黑客工具的過程幾乎每天都在發生,意味著它可能是在無人直接干預的情況下自動完成的。
至於幕後主使者和發起攻擊的確切原因,目前暫不得而知。