电子邮件活动传播StrRAT假冒勒索软件率

StrRAT是一种基于Java的远程访问工具，它可以窃取浏览器凭据，记录击键，并远程控制受感染的系统-这些都是老鼠的典型行为，MSI研究人员在GitHub上发布的关于该恶意软件的文档中描述了这一点。他们说，RAT还有一个模块，可以根据命令和控制(C2)服务器命令将额外的有效载荷下载到受感染的机器上。

StrRAT还有一个此类恶意软件不常见的独特功能：“勒索软件加密/解密模块”，它可以更改文件名，暗示下一步是加密。然而，研究人员在其中一条描述攻击的推文中说，StrRAT没有实现这一功能，“在没有对文件进行实际加密的情况下，将文件扩展名.crimson添加到文件中。”

攻击序列。
为了发起这场运动，攻击者使用被攻破的电子邮件账户发送了几封不同的电子邮件。其中一些邮件使用主题行“外发付款”。其他人指的是所谓的“应付账款部门”支付的一笔具体款项，电子邮件就是这样签名的。

这项活动包括几封不同的电子邮件，它们都使用围绕支付收据的社交工程来鼓励人们点击看似PDF但实际上有恶意的附件。

一封电子邮件通知收件人，它包括一个带有特定号码的“外发付款”--大概是附件中的PDF。另一封邮件是写给“供应商”的，似乎是让收件人知道“您的付款已按照附件中的付款通知发放”，并要求收件人核实附件PDF中所做的调整。

但是，在所有这些情况下，附加的文件根本不是PDF，而是将系统连接到恶意域以下载StrRAT恶意软件，然后该恶意软件连接到C2服务器。

研究人员观察到的老鼠版本是1.5，根据其中一条推文，这“明显比以前的版本更模糊和模块化”。然而，它保持了与研究人员观察到的StrRAT以前版本相同的后门功能。这些功能包括收集浏览器密码、运行远程命令和PowerShell以及记录击键等。

缓解。
研究人员表示，Microsoft 365 Defender可以保护系统免受StrRAT攻击，而基于机器学习的保护会检测并阻止端点上的恶意软件，提醒Microsoft Defender for Office 365防范恶意电子邮件。

他们还在GitHub上发布了带有一系列高级狩猎查询的文件，以便防御软件可以定位与StrRAT相关的恶意行为指示器以及环境中的类似威胁。

要检测防御规避行为，即恶意软件尝试发现受攻击设备上已就位的防病毒生产解决方案，可以使用以下查询：

DeviceProcessEvents
| where InitiatingProcessFileName in~("java.exe", "javaw.exe") and InitiatingProcessCommandLine has "roaming"
| where FileName == 'cmd.exe' and ProcessCommandLine has 'path antivirusproduct get displayname'

为了查找包含已知与传递StrRAT恶意软件相关的域的电子邮件，MSI建议使用以下查询：

EmailUrlInfo
| where UrlDomain has_any ('metroscaffingltg.co.uk',
'pg-finacesolutions.co.uk',
'jpfletcherconsultancy.co.uk',
'buildersworlinc.co.uk',
'bentlyconstbuild.co.uk',
'alfredoscafeltd.co.uk',
'zincocorporation.co.uk',
'playerscircleinc.co.uk',
'tg-cranedinc.co.uk',
'adamridley.co.uk',
'westcoasttrustedtaxis.co.uk',
'sivospremiumclub.co.uk',
'gossyexperience.co.uk',
'jeffersonsandc.co.uk',
'fillinaresortsltd.co.uk',
'tk-consultancyltd.co.uk')

最后，以下查询查找名为“ Skype”的计划任务，StrRAT JAR文件使用该任务在目标计算机上创建持久性：
DeviceProcessEvents
| where InitiatingProcessFileName in~("java.exe","javaw.exe")
| where FileName == 'cmd.exe' and ProcessCommandLine has_all("schtasks /create", "tn Skype")