3月16日訊 安全廠商 Forcepoint 公司表示，其安全研究人員在2018年2月觀察到的三起 Qrypter遠(yuǎn)程訪問(wèn)木馬（簡(jiǎn)稱RAT）相關(guān)活動(dòng)，總計(jì)影響到243家組織機(jī)構(gòu)。

Qrypter 是基于Java 的 RAT

Qrypter 已經(jīng)存在多年，常被誤認(rèn)為 Adwind 跨平臺(tái)后門的惡意軟件，但實(shí)際上則是是一款基于Java 的 RAT，其幕后黑手為名叫“QUA R&D”的地下組織，該組織專門提供惡意軟件即服務(wù)類平臺(tái)。

Qrypter，也被稱為Qarallax、Quaverse、QRAT以及Qotroller。

Forcepoint 公司表示，Qrypter采用基于 TOR 的命令與控制（簡(jiǎn)稱C&C）服務(wù)器，2016年6月被首次發(fā)現(xiàn)，在此之后曾被用于針對(duì)申請(qǐng)美國(guó)簽證的瑞士民眾實(shí)施攻擊。該惡意軟件通常通過(guò)惡意廣告郵件進(jìn)行交付，且每一波郵件傳播一般只發(fā)送數(shù)百條消息，而且 Qrypter 的影響一直在不斷擴(kuò)大。

在受害者系統(tǒng)上運(yùn)行時(shí)，Qrypter 會(huì)在 %Temp% 文件夾當(dāng)中投放并運(yùn)行兩個(gè) VBS 文件，且二者使用隨機(jī)文件名。這兩套腳本負(fù)責(zé)收集安裝在目標(biāo)計(jì)算機(jī)上的防火墻與反病毒產(chǎn)品信息。

Qrypter 是一套基于插件的后門，能夠?yàn)楣粽咛峁V泛的功能，具體包括遠(yuǎn)程桌面連接、攝像頭訪問(wèn)、文件系統(tǒng)操作、附加文件安裝以及任務(wù)管理控制等等。

QUA R&D組織黑市“Qrypter”服務(wù)火熱

Qrypter 目前的出租價(jià)格為80美元，可通過(guò)完美幣、比特現(xiàn)金或比特幣形式支付。其賣家（該惡意軟件的開(kāi)發(fā)者：QUA R&D）表示：有興趣的買家還能夠以折扣價(jià)格購(gòu)買三個(gè)月或者一年期訂閱服務(wù)。

與 Qrypter 訂閱支付相關(guān)的舊有比特幣地址似乎總計(jì)收到1.69比特幣（截至本文發(fā)稿時(shí)，約折合13500美元）。然而，這還只是該惡意軟件作者所使用的地址之一，其實(shí)際收入可能遠(yuǎn)高于此。

Qrypter的粉絲有2300人之多

該惡意軟件的開(kāi)發(fā)者還通過(guò)“Black&White Guys”論壇為其客戶提供支持服務(wù)，目前此論壇擁有超過(guò)2300位注冊(cè)成員。根據(jù)該論壇的內(nèi)容，研究人員們得以發(fā)現(xiàn) QUA R&D 的活動(dòng)軌跡，該集團(tuán)似乎非常關(guān)注客戶的滿意度，而且會(huì)定期發(fā)布通知并向用戶保證所購(gòu)買的加密服務(wù)（價(jià)格為5美元）能夠完全回避反病毒解決方案的檢測(cè)。

Forcepoint 公司指出，“確保產(chǎn)品徹底回避安全檢測(cè)已經(jīng)成為該集團(tuán)的主要工作內(nèi)容之一。這可能也解釋了為什么在近兩年，Qrypter 仍然幾乎沒(méi)有得到反病毒解決方案供應(yīng)商的重視。”

除了與客戶交互之外，該論壇還負(fù)責(zé)吸引更多潛在經(jīng)銷商。這些經(jīng)銷商將獲得折扣碼以幫助 Qrypter 提高自身在地下圈子中的知名度。此外，其還將該 RAT 的早期版本免費(fèi)提供給客戶。再有，QUA R&D 也通過(guò)破解競(jìng)爭(zhēng)對(duì)手產(chǎn)品，散布競(jìng)爭(zhēng)對(duì)手 FUD（即恐怖、不確定性與懷疑）言論的方式進(jìn)行業(yè)務(wù)推廣。

Forcepoint 公司總結(jié)稱，“雖然 Qrypter MaaS 相對(duì)便宜，但 QUA R&D 偶爾會(huì)發(fā)布針對(duì)競(jìng)爭(zhēng)對(duì)手產(chǎn)品的破解方案，這可能顯著提高犯罪軟件的免費(fèi)使用機(jī)率，最終導(dǎo)致攻擊活動(dòng)成倍增加?！?/p>