KHRAT已经对自身技术及手段进行升级，旨在入侵更多PC设备——不过种种迹象表明其背后似乎隐藏着某种政治目的。

E安全9月6日讯 KHRAT木马再度袭来，此番更携新型功能及入侵手段以冲击柬埔寨民众。

这一远程访问木马（简称RAT）早已被安全业界发现，但自今年以来，其开始出现更多现代化变种。

KHRAT木马具体攻击过程

根据Palo Alto Networks公司旗下Unit 42安全小组的调查，KHRAT目前被威胁活动分子用于对付柬埔寨民众，其目标则包括入侵目标PC、窃取包括系统语言及IP地址在内的各类信息，同时利用键盘记录、截屏以及远程shell访问等方式实施间谍活动。

该小组在一篇相关博文中解释称，最近几个月来KHRAT的活跃度有所提升，而首例针对柬埔寨国民的攻击则发现于今年6月。

欺诈邮件涉“湄公河综合水资源管理项目”

KHRAT目前正通过新型垃圾邮件与网络钓鱼活动进行部署，并在欺诈性电子邮件的附件当中利用湄公河综合水资源管理项目（简称MIWRMP）内容作为引导受害者的诱饵。该项目由世界银行所资助，项目总金额高达数百万美元，当前目标在于改善柬埔寨东北部的水利与渔业管理成效。

用于传播该RAT的恶意文档之一被命名为《Mission Announcement Letter for MIWRMP phase three implementation support mission, June 26-30, 2017(update).doc》（MIWRMP第三阶段实施支持计划通知书，2017年6月26日至30日（更新）），其中提及该项目的当前设计工作内容。

涉及俄罗斯IP地址

然而其附件却与某俄罗斯IP地址相关联，且使用到update.upload-dropbox[.]com域名以使得受害者误以为其访问的是合法的Dropbox云存储服务。

另外，该恶意软件亦被托管在柬埔寨政府的网站上，目前已证明该域名确有遭到入侵。

一旦被下载及打开，该恶意Word文档即会宣称用户的Office版本与其无法兼容，此后提供的链接将在用户点击后允许执行包含木马的宏内容。

接下来，KHRAT会部署其它恶意代码有效载荷、修改Windows注册表并通过强制微软Word将该文档添加至最近打开文档列表中的方式重新执行该木马以实现持久性。

该木马还利用合法的regsvr32.exe程序掩盖其恶意活动，具体包括运行一系列正常任务并创建调用函数以运行JavaScript代码。

在木马的投放代码当中，研究人员还发现代码中包含一条指向某博客的链接，而该博客在中国最大的IT社区和服务平台CSDN（为软件开发者和IT从业者提供学习及知识和信息共享）上注册，其博客中包含与恶意软件的点击追踪系统“几乎完全相同”的示例代码。

攻击者可监控哪些人在访问该网站

研究人员们指出，“probe_sl.js当中的JavaScript代码采用有点击追踪手段，意味着攻击者可以监控哪些人在访问该网站。这一机制也可能被用于进行恶意软件的后期控制与工具分发，具体措施为仅面向符合条件的受害者或者脆弱系统发送请求响应，而直接弃用其它可能来自安全研究人员的请求。”

Palo Alto Networks公司认为，KHRAT背后的威胁分子已经对该木马进行了升级，包括向其中添加针对性鱼叉钓鱼与点击追踪机制，旨在成功入侵其感兴趣的柬埔寨国内目标。

或为国家支持型黑客行为

考虑到该钓鱼邮件在内容方面的政治特性，相关恶意活动的目标很可能在于打击政治对手或者干扰政治活动。

研究人员们解释称，“最近的恶意活动突出证明，社交工程技术开始以更为细化的方式被应用于全国性活动当中，具体包括左右人们的舆论倾向等。研究人员认为，这款恶意软件所使用的基础设施以及TTP（即战术、技术与规程）证明其背后存在着一个更为复杂的威胁分子集团。”