【安全资讯】Babylon RAT肆虐：马来西亚政界人士遭遇网络攻击

概要：

Cyble研究与情报实验室（CRIL）最近揭露了一场针对马来西亚高层政治人物和政府官员的复杂网络间谍活动。自2023年7月以来，该活动通过恶意ISO文件传播强大的Babylon远程访问木马（RAT），用于隐秘监控和数据窃取。

主要内容：

此次网络间谍活动始于分发伪装成合法文件的ISO文件，诱使受害者误以为在访问官方或政治敏感文件。每个ISO文件包含一个模仿PDF文档的快捷方式、一个隐藏的恶意可执行文件、一个诱饵PDF和一个隐藏的PowerShell脚本。一旦打开快捷方式，PowerShell脚本会在后台静默执行，启动诱饵PDF以避免怀疑，同时将恶意可执行文件复制到受害者系统中。该脚本随后创建注册表项，确保恶意可执行文件“controller.exe”在系统启动时自动运行，从而在受害者设备上植入Babylon RAT。

Babylon RAT是一种开源工具，设计用于全面监控和数据外泄。一旦安装，RAT使攻击者能够完全控制受害者的机器，远程执行命令、捕获按键、监控剪贴板并窃取敏感数据如密码。该恶意软件的持久性机制通过修改注册表设置确保其在系统重启后仍然存在。Babylon RAT最令人担忧的特性之一是其与命令和控制（C2）服务器的通信能力，使攻击者能够远程管理受感染系统、传送额外的负载并收集关键信息。

CRIL的分析显示，攻击者使用了至少三个不同的ISO文件，每个文件针对特定目标。一个文件包含政治敏感文件，暗示该活动针对政治活跃人士。另一个文件针对与马来西亚Majlis Amanah Rakyat（MARA）相关的官员，而第三个ISO文件名为“PANDUAN_PENGGUNA_MyKHAS.iso”，似乎针对使用MyKHAS平台的马来西亚政府实体用户。攻击者展示了高级技术，确保其恶意软件不被检测到。恶意可执行文件“controller.exe”包含大约300MB的数据覆盖，旨在逃避安全产品的检测。此外，用于执行恶意软件的PowerShell脚本在Windows注册表中创建启动项，确保RAT在重启后持续运行。进一步分析显示，恶意软件使用AES-256算法解密其负载，增加了传统杀毒解决方案检测威胁的难度。