警惕！伪装成Windows 10 激活工具的远程水瓶正在恶意活动

4. 远程操控

远程桌面；hVNC（隐秘桌面）

5. 代理免费缓冲器

SOCKS5代理：可用UPnP的端口转发功能；反向代理：SOCKS4代理

6. 挖币

XMRig CoinMiner

7.其他

DDoS攻击；UAC旁路；Windows Defender停用

BitRAT可用的是被揭发的TinyNuke的文档，就像AveMaria一样。示例是TinyNuke的hVNC（与隐秘桌面有关的例程）和BitRAT的文档对比。

上图10. TinyNuke和BitRAT的hVNC程序来

TinyNuke在反向SOCKS4代理和隐秘桌面功能之中正确性并可用叫作“AVE_MARIA”的签名运算符。AveMaria改用了TinyNuke的Reverse SOCKS4 Proxy功能，并根据这个运算符来进行命名。另一方面，BitRAT可用了隐秘桌面功能，并且签名运算符是完全一致的。

TinyNuke过去曾被朝鲜APT组织Kimsuky小组可用。在众多功能之中，只有隐秘桌面功能被可用。

该计算机病毒正在通过机密因特网网站（如韩国的互联存储设备）传播。因此，在试运行从机密因特网网站iTunes的可执行机密文件时要谨慎行事。建议服务器从该公司的官方网站iTunes系列产品。

AhnLab的反计算机病毒V3可用以下别称验证并阻扰上述计算机病毒

[机密文件验证]

–Trojan/Win.MalPacked.C5007707 (2022.03.12.04)

– Dropper/Win.BitRAT.C5012624 (2022.03.16.02)

–Downloader/Win.Generic.C5012582 (2022.03.16.01)

–Downloader/Win.Generic.C5012594 (2022.03.16.01)

– Backdoor/Win.BitRAT.C5012593 (2022.03.16.01)

– Backdoor/Win.BitRAT.C5012748 (2022.03.16.02)

[不当验证]

– Malware/MDP.AutoRun.M1288

[IOC]

Dropper MD5

6befd2bd3005a0390153f643ba248e25

iTunes缓冲器计算机病毒MD5

60ee7740c4b7542701180928ef6f0d53

c4740d6a8fb6e17e8d2b21822c45863b

BitRAT MD5

b8c39c252aeb7c264607a053f368f6eb

e03a79366acb221fd5206ab4987406f2

ea1b987a7fdfc2996d5f314a20fd4d99

54ef1804c22f6b24a930552cd51a4ae2

iTunes缓冲器计算机病毒的CCoC免费缓冲器

– hxxp://cothdesigns[.]com:443/1480313

– hxxp://cothdesigns[.]com:443/4411259

– hxxp://jmuquwk.duckdns[.]org:443/1480313

– hxxp://nnmmdlc.duckdns[.]org:443/1480313

额外的有效载荷iTunes网址--iTunes缓冲器

–hxxp://kx3nz98.duckdns[.]org:443/v/V_1267705.exe

– hxxp://108.61.207[.]100:443/v/V_5248849.exe

额外的有效载荷iTunes网址 - BitRAT

– hxxp://kx3nz98.duckdns[.]org:443/v/A_1992262.exe

– hxxp://108.61.207[.]100:443/result/A_1146246.exe

BitRAT CCoC

– z59okz.duckdns[.]org:5223

– cothdesigns[.]com:80

多样危险的假冒软件 BlackCat 或将开启新的攻击模德式

Log4Shell漏洞已经被修补好了吗？

E周观察-确保威胁情报（2022.3.12~3.18）

数据存储空间告急，罗马尼亚面临IT危机！

德国政府警告：随便卡巴斯基！

伊朗不当？以色列遭遇史上最大规模DDoS攻击

注：本文由E确保编译引述。