摘要：\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp9.pstatp.com\u002Flarge\u002Fpgc-image\u002F247dd1cf75f445c3921bf8c5b0923178\" img_width=\"682\" img_height=\"140\" alt=\"Proyecto远控木马：采用VB语言编写，藏身近9年未被发现\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图10.带有C＆C服务器地址电子邮件主题的YOPmail电子邮件\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E结论和预测\u003C\u002Fh1\u003E\u003Cp\u003E经过分析，趋势科技的研究人员发现Proyecto RAT与另一种已知的远控木马Xpert RAT可能存在关联，并且Xpert RAT很有可能是基于Proyecto RAT编写的。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fe4abb49c91ae4c4695b30365a9c56ab4\" img_width=\"579\" img_height=\"157\" alt=\"Proyecto远控木马：采用VB语言编写，藏身近9年未被发现\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图9.用于下载第二阶段有效载荷的网址\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E第二阶段有效载荷：Proyecto RAT\u003C\u002Fh1\u003E\u003Cp\u003EProyecto RAT是采用用Visual Basic 6（Visual Basic，简称VB，是由微软公司开发的一种基于对象的通用程序设计语言）编写的，并且具有一个特别的功能——通过一次性临时与匿名转发电子邮件服务YOPmail获取命令和控制（C＆C）服务器的短网址。

"\u003Cdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F0e479ac1763f420b9a23a9fdd3ccbb4c\" img_width=\"2048\" img_height=\"1205\" alt=\"Proyecto远控木马：采用VB语言编写，藏身近9年未被发现\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E最近，网络安全公司趋势科技（Trend Micro）的研究人员发现有大量的垃圾电子邮件被发送给了一些南美国家（尤其是哥伦毕业）的政府组织、医疗保健和制药机构，以及金融、银行、保险食品和包装等企业。\u003C\u002Fp\u003E\u003Cp\u003E攻击者试图通过这些垃圾电子邮件传播一种此前从未被公开披露过的远控木马（RAT）——Proyecto，以便从这些组织窃取敏感信息。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F66ef79f5a0a54b16a4276b37c1345f96\" img_width=\"1104\" img_height=\"565\" alt=\"Proyecto远控木马：采用VB语言编写，藏身近9年未被发现\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图1.主要受感染的地区\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E垃圾电子邮件活动分析\u003C\u002Fh1\u003E\u003Cp\u003E如上所述，整个感染链是从一封发动给目标组织的垃圾电子邮件开始的，垃圾电子邮件样本如图2所示。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp9.pstatp.com\u002Flarge\u002Fpgc-image\u002Fe7b7b9ba4c164466a077350be55588b6\" img_width=\"1029\" img_height=\"494\" alt=\"Proyecto远控木马：采用VB语言编写，藏身近9年未被发现\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图2.垃圾电子邮件样本\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E为了诱使收件人打开这个电子邮件，攻击者使用了多个不同的主题，例如：\u003C\u002Fp\u003E\u003Cul\u003E\u003Cli\u003E“Hemos iniciado un proceso en su contra por violencia laboral”（大致翻译为“我们已经就在工作场所使用暴力对您提起了诉讼”）\u003C\u002Fli\u003E\u003Cli\u003E“Se hara efectivo un embargo a su(s) cuenta(s) Bancarias”（大致翻译为“您的银行账户将被冻结”）\u003C\u002Fli\u003E\u003Cli\u003E“Almacenes exito te obsequia una tarjeta regalo virtual por valor de $500.000”（大致翻译为Exito商店为您提供了价值5万美元的虚拟礼物）\u003C\u002Fli\u003E\u003C\u002Ful\u003E\u003Cp\u003E虽然主题不同，但这些电子邮件都带有一个相同格式的附件——一个RTF文件（RTF，全称Rich Text Format，是由微软公司开发的一种跨平台文档格式）。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fc5d46ddebd2c44ef8a0e055c3855d13d\" img_width=\"456\" img_height=\"120\" alt=\"Proyecto远控木马：采用VB语言编写，藏身近9年未被发现\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图3.作为垃圾电子邮件附件的RTF文件\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003ERTF文件仅包含一行文本和一个超链接。需要说明的是，电子邮件的主题不同，包含在RTF文件中的文本以及超链接的说明文字也不同，如“您可以在下面看到针对您的诉讼”或“在线查看诉讼”。\u003C\u002Fp\u003E\u003Cp\u003E其中，超链接是一个短网址，是通过cort.as生成的。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F2a4c9dca34a143b682a1c3e97df2a799\" img_width=\"1081\" img_height=\"183\" alt=\"Proyecto远控木马：采用VB语言编写，藏身近9年未被发现\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图4.短网址生成工具cort.as\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E单击链接，会导致一个托管在文件共享服务上的文件被下载，该文件包含恶意宏代码。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F5908de68e29b47909193d25ab82b5842\" img_width=\"264\" img_height=\"201\" alt=\"Proyecto远控木马：采用VB语言编写，藏身近9年未被发现\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图5. 托管在文件共享服务上的恶意文件\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E恶意文件分析\u003C\u002Fh1\u003E\u003Cp\u003E大多恶意文件采用的都是MHTML格式，但也有少部分是OLE格式的 Office文件。无论采用的是哪种格式，它们都包含恶意宏代码，并要求用户启用宏。\u003C\u002Fp\u003E\u003Cp\u003E点击启用，恶意宏代码就将下载并执行第一阶段有效载荷。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F0ed85e8f535e46e9811114fdc43c805f\" img_width=\"559\" img_height=\"421\" alt=\"Proyecto远控木马：采用VB语言编写，藏身近9年未被发现\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图6.恶意文件伪装成来自哥伦比亚移民局网站MigraciónColombia\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F523b1cfc85da4282bd1c88f330afa6d3\" img_width=\"595\" img_height=\"372\" alt=\"Proyecto远控木马：采用VB语言编写，藏身近9年未被发现\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图7.恶意文件伪装成来自DataCrédito（一种可访问用户信用记录和个人简历的服务）\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F56b732970ada4ac99f774c8bb601ae87\" img_width=\"608\" img_height=\"379\" alt=\"Proyecto远控木马：采用VB语言编写，藏身近9年未被发现\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图8. 带有通用Adobe Flash Player安装程序的恶意文件\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E第一阶段有效载荷：各种RAT\u003C\u002Fh1\u003E\u003Cp\u003E第一阶段有效载荷多为Imminent Monitor RAT。不过，趋势科技的研究人员表示，他们在2018年初的关联活动中还发现了LuminosityLink RAT、NetWire RAT和NjRAT的使用。\u003C\u002Fp\u003E\u003Cp\u003E此外，在今年6月份的一起关联活动中，攻击者还使用了Warzone RAT。除了常规的RAT功能，Warzone RAT还拥有键盘记录，以及从Web浏览器和Outlook窃取密码的能力。\u003C\u002Fp\u003E\u003Cp\u003E需要指出的是，所有这些RAT都一个共同的特性——可以以低于100美元的价格在暗网交易市场购买到。\u003C\u002Fp\u003E\u003Cp\u003E通过观察Imminent Monitor RAT的网络行为，趋势科技的研究人员发现它还会下载并执行另一个可执行文件，即第二阶段有效载荷。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fe4abb49c91ae4c4695b30365a9c56ab4\" img_width=\"579\" img_height=\"157\" alt=\"Proyecto远控木马：采用VB语言编写，藏身近9年未被发现\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图9.用于下载第二阶段有效载荷的网址\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E第二阶段有效载荷：Proyecto RAT\u003C\u002Fh1\u003E\u003Cp\u003EProyecto RAT是采用用Visual Basic 6（Visual Basic，简称VB，是由微软公司开发的一种基于对象的通用程序设计语言）编写的，并且具有一个特别的功能——通过一次性临时与匿名转发电子邮件服务YOPmail获取命令和控制（C＆C）服务器的短网址。\u003C\u002Fp\u003E\u003Cp\u003EProyecto RAT首先会连接到YOPmail邮箱以读取一封电子邮件，然后提取电子邮件的主题。如图10所示，C＆C服务器的短网址就位于两个“¡”字符（颠倒的感叹号）之间，这是西班牙语中一个独特的符号。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp9.pstatp.com\u002Flarge\u002Fpgc-image\u002F247dd1cf75f445c3921bf8c5b0923178\" img_width=\"682\" img_height=\"140\" alt=\"Proyecto远控木马：采用VB语言编写，藏身近9年未被发现\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E图10.带有C＆C服务器地址电子邮件主题的YOPmail电子邮件\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E结论和预测\u003C\u002Fh1\u003E\u003Cp\u003E经过分析，趋势科技的研究人员发现Proyecto RAT与另一种已知的远控木马Xpert RAT可能存在关联，并且Xpert RAT很有可能是基于Proyecto RAT编写的。\u003C\u002Fp\u003E\u003Cp\u003E相关报道指出，Xpert RAT 最初出现在2011年。也就是说，Proyecto RAT的第一个版本至少应该是在2010年年底发布的。\u003C\u002Fp\u003E\u003Cp\u003E攻击者的目的显然不是为了进行APT攻击（即高级可持续威胁攻击,也称为定向威胁攻击），因为攻击的痕迹太过明显，最大的可能是为了进行BEC（商务电子邮件入侵）诈骗而做准备。\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E"'.slice(6, -6), groupId: '6716761081257132552