近日，安天 CERT（安全研究與應(yīng)急 處理中心）發(fā)現(xiàn)一種名為 ArtraDownloader 的 木 馬 家 族。 該 木 馬 常 用 來 下 載 與 BITTER 威 脅 組 織 相 關(guān) 的 遠(yuǎn) 控 木 馬 BitterRAT，目前該木馬家族被發(fā)現(xiàn)有三類 變種。

      2018 年 9 月 起， 持 續(xù) 到 2019 年 初， BITTER 組織針對(duì)巴基斯坦和沙特阿拉伯 發(fā)起了一波攻擊，在這次攻擊中大概有 80 個(gè) 不 同 的 ArtraDownloader 惡 意 樣 本， 其 中最早的一個(gè)樣本的時(shí)間戳是 2015 年 2 月。 這些樣本可大體分為三類，它們?cè)谧址?的混淆方式和 HTTP 的請(qǐng)求方式上有所差 別。這類木馬通過添加注冊(cè)表自啟動(dòng)項(xiàng)來實(shí)現(xiàn)持久化，通過 HTTP 請(qǐng)求來下載并執(zhí) 行遠(yuǎn)程文件，字符串的混淆方式為將每個(gè) 字符加上或減去一個(gè)值，并且在 HTTP 通 信中也采用這樣的方式進(jìn)行混淆。該類木 馬通過惡意文檔觸發(fā)，攻擊者通過網(wǎng)站入 侵，將這些惡意文檔上傳到合法的巴基斯 坦網(wǎng)站上，并誘騙用戶下載。被入侵的網(wǎng) 站包括政府網(wǎng)站、工程公司、電氣供應(yīng)商 等。

      安天 CERT 提醒廣大政企客戶，要提 高網(wǎng)絡(luò)安全意識(shí)，在日常工作中要及時(shí)進(jìn) 行系統(tǒng)更新和漏洞修復(fù)，不要隨意下載非 正版的應(yīng)用軟件、非官方游戲、注冊(cè)機(jī)等。 收發(fā)郵件時(shí)要確認(rèn)收發(fā)來源是否可靠，更加不要隨意點(diǎn)擊或者復(fù)制郵件中的網(wǎng)址， 不要輕易下載來源不明的附件，發(fā)現(xiàn)網(wǎng)絡(luò) 異常要提高警惕并及時(shí)采取應(yīng)對(duì)措施，養(yǎng) 成及時(shí)更新操作系統(tǒng)和軟件應(yīng)用的好習(xí) 慣。確保沒有任何計(jì)算機(jī)運(yùn)行直接連接到 Internet 的遠(yuǎn)程桌面服務(wù)，而是將運(yùn)行遠(yuǎn)程 桌面的計(jì)算機(jī)放在 VPN 之后，只有使用 VPN 才能訪問它們。同時(shí)也要做好文件的 備份，以防止勒索軟件加密重要文件后無 法恢復(fù)。

      目前，安天追影產(chǎn)品已經(jīng)實(shí)現(xiàn)了對(duì)該 類惡意代碼的檢出。