叙利亚威胁组织兜售破坏性的SilverRAT

复杂的远程访问木马SilverRAT背后的组织与土耳其和叙利亚都有联系，并计划发布该工具的更新版本，以允许控制受感染的Windows系统和Android设备。

根据 1 月 3 日发布的威胁分析，SilverRAT v1（目前仅适用于 Windows 系统）允许构建用于键盘记录和勒索软件攻击的恶意软件，并包括破坏性功能，例如删除系统还原点的能力，总部位于新加坡的 Cyfirma 的研究人员在他们的分析中表示。

SilverRAT Builder允许各种功能

根据Cyfirma的分析，SilverRAT显示，该地区的网络犯罪集团正变得越来越复杂。SilverRAT的第一个版本，其源代码于10月被未知行为者泄露，它由一个构建器组成，允许用户构建具有特定功能的远程访问木马。

根据 Cyfirma 的分析，更有趣的功能包括使用 IP 地址或网页进行命令和控制、绕过防病毒软件、擦除系统还原点的能力以及有效载荷的延迟执行。

根据 Cyfirma 的分析，至少有两个威胁行为者——一个使用句柄“Dangerous silver”，另一个使用“Monstermc”——是 SilverRAT 和之前的程序 S500 RAT 背后的开发者。黑客在Telegram和在线论坛上进行操作，在那里他们出售恶意软件即服务，分发来自其他开发人员的破解RAT，并提供各种其他服务。此外，他们还有一个名为 Anonymous Arabic 的博客和网站。

“有两个人管理SilverRAT，”Cyfirma的威胁研究员Rajhans Patel说。“我们已经能够收集到其中一位开发商的照片证据。

从论坛开始

该恶意软件背后的组织被称为匿名阿拉伯语，活跃在中东论坛上，例如Turkhackteam，1877和至少一个俄罗斯论坛。

除了开发 SilverRAT 之外，该组织的开发人员还提供按需分布式拒绝服务 （DDoS） 攻击，Cyfirma 研究团队的威胁研究员 Koushik Pal 说。

“自 2023 年 11 月下旬以来，我们观察到匿名阿拉伯语的一些活动，”他说。“众所周知，他们正在使用Telegram上宣传的名为'BossNet'的僵尸网络对大型实体进行DDOS攻击。”

虽然中东威胁形势一直由伊朗和以色列的国营和国家支持的黑客组织主导，但像匿名阿拉伯语这样的本土组织继续主导网络犯罪市场。SilverRAT等工具的持续开发凸显了该地区地下市场的动态性质。

用于构建特洛伊木马的 SilverRAT 仪表板。来源：Cyfirma

托管检测和响应公司Critical Start的网络威胁情报研究分析师Sarah Jones说，中东的黑客组织往往种类繁多，她警告说，单个黑客组织在不断发展，概括其特征可能会有问题。

“中东各群体的技术复杂程度差异很大，”她说。“一些国家支持的行为者拥有先进的能力，而另一些则依赖于更简单的工具和技术。

通过游戏黑客的门户

根据 Cyfirma 研究人员收集的数据，在已确定的匿名阿拉伯语组织成员中，至少有一名是前游戏黑客，包括 Facebook 个人资料、YouTube 频道和其中一名黑客的社交媒体帖子——一名 20 岁出头的男子住在叙利亚大马士革，十几岁时就开始黑客攻击。

年轻黑客在寻找游戏漏洞时咬牙切齿，其形象超越了中东的黑客社区。青少年通过创建游戏黑客或对游戏系统发起拒绝服务攻击来开始他们的黑客生涯已成为一种趋势。Arion Kurtaj是Lapsus$小组的成员，最初是一名Minecraft黑客，后来转向Microsoft，Nvidia和游戏制造商Rockstar等黑客目标。

“我们可以在SilverRAT的开发者身上看到类似的趋势，”Cyfirma的威胁研究员Rajhans Patel说，他在威胁分析中补充道：“回顾开发者以前的帖子，就会发现提供各种第一人称射击（FPS）游戏黑客和模组的历史。

美国国土安全部网络安全审查委员会（CSRB）对重大黑客进行事后分析，认为从青少年黑客到网络犯罪企业的持续管道是一种生存危险。CSRB在分析Lapsus$集团在攻击“世界上一些资源最充足、防御最严密的公司”方面的成功时发现，政府和私人组织应该制定整体计划，将青少年从网络犯罪中转移出来。

然而，年轻的程序员和精通技术的青少年也经常找到其他途径进入网络犯罪分子的行列，Critical Start 的 Jones 说。

“黑客和任何人群一样，都是不同的个体，具有不同的动机、技能和方法，”她说。“虽然一些黑客可能会从游戏黑客开始，然后转向更严肃的工具和技术，但我们经常发现网络犯罪分子倾向于针对网络防御较弱的行业和国家。