JanelaRAT 恶意软件活动针对拉丁美洲金融部门

执行摘要

利用修改版的BX RAT的恶意软件活动，现在被追踪为JanelaRAT，已经在拉丁美洲，主要是巴西的金融机构执行了超过14,000次攻击。该恶意软件旨在窃取敏感的金融和加密货币数据，记录键盘输入，捕获屏幕截图，并外泄系统信息。该活动专注于特定区域银行及其高攻击量表明这是一个有针对性的、以财务为动机的操作。

技术分析

JanelaRAT是一个基于开源BX RAT的远程访问木马（RAT）。该恶意软件作为数据窃取和监视工具。根据分析，其能力包括记录键盘输入、跟踪鼠标输入、捕获屏幕截图和收集系统元数据，如计算机名称、操作系统详细信息和IP地址。一个主要功能是搜索和外泄与特定金融实体和加密货币钱包相关的数据。恶意软件的命令与控制（C2）基础设施配置为接收这些被盗数据。源报告表明恶意软件是通过恶意电子邮件附件传递的，尽管确切的初始感染向量和任何被利用的漏洞仍未指定。目前没有与此活动相关的特定CVE ID。

入侵指标

目前没有识别出。

战术、技术与程序

JanelaRAT活动背后的威胁行为者采用与财务动机网络犯罪一致的技术。根据源材料，主要的初始访问向量被认为包含恶意附件的网络钓鱼电子邮件。一旦执行，恶意软件建立持久性并开始收集活动（T1557），包括键盘记录（T1056.001）和屏幕捕获（T1113）。它特别搜索受害者系统上与目标金融机构相关的文件和数据（T1083, T1555）。收集的数据随后被外泄到行为者控制的C2服务器（T1041）。恶意软件从已知RAT框架的修改表明能力开发（T1587）和可能的文件或信息混淆（T1027）以逃避检测。

威胁行为者背景

源材料没有将JanelaRAT活动归因于一个命名的威胁行为者或团体。运营重点—针对拉丁美洲特定银行和金融服务的高攻击量—强烈表明这是一个以财务为动机的网络犯罪操作，可能基于或专注于该地区。BX RAT框架的重用和修改表明行为者具有中等技术水平，利用现有工具以提高效率。目前没有证据将此活动与国家支持的团体联系起来。

缓解措施与建议

组织，特别是在拉丁美洲金融部门，应实施针对观察到的TTP的防御措施。应培训用户识别和报告网络钓鱼尝试，严格政策禁止打开意外的电子邮件附件。应部署并调整端点检测和响应（EDR）解决方案，以检测与RAT和数据窃取者相关的行为，如键盘记录、屏幕截图捕获和可疑的出站连接到未知IP地址。应用程序允许列表可以阻止未经授权的二进制文件如JanelaRAT的执行。还建议对数据外泄到不熟悉的外部目的地进行网络监控。由于没有引用特定的漏洞，补丁管理虽然始终至关重要，但应辅以这些以行为为重点的控制。