Bandook RAT 更新变种攻击 Windows 系统

主要重点

根据 The Hacker News 的报导，更新版的 Bandook 远程访问木马RAT已经开始针对 Windows 机器发动攻击。威胁行为者通过发送恶意 PDF 文件，这些文档链接到一个 7z 压缩档，以启动一个注入组件，进行 Bandook RAT 的解密和加载，将其嵌入 Windows 二进制文件 msinfo32exe 中，然后进一步修改 Windows 注册表以实现持久性，根据 Fortinet FortiGuard Labs 的报告指出。随后，这个恶意软件还会从指挥和控制服务器上获取其他有效载荷和指令。

研究员 Pei Han Liao 提到：这些行为大致可以归类为文件操作、登记档操作、下载、信息窃取、文件执行、调用来自 C2 的 DLL 函数、控制受害者计算机、终止进程和卸载恶意软件。这些发现表明，最早出现于 2007 年的 Bandook RAT，在 2021 年被 ESET 报导过，还被用于针对委内瑞拉及其他西班牙语国家的网络间谍活动。

相关连结： 了解更多 Bandook RAT 的信息 Fortinet 调查报告

在此背景下，企业和个人用户必须提高警惕，定期检查和加强其安全防护措施，以防止这类恶意攻击再次成功。