思科公司（Cisco）的Talos安全研究人员警告称，一个威胁行为者正在使用商业远程访问木马（RATs）对印度政府和军事人员进行一系列恶意攻击。与APT36（又名神话豹和透明部落（ Mythic Leopard and Transparent Tribe））和SideCopy组织的行动相似，攻击者使用了Netwire和Warzone （AveMaria） RATs，诱饵围绕印度国家信息中心（NIC）的Kavach双因素认证（2FA）应用程序。APT36和SideCopy此前被归因为与巴基斯坦有关，是国家支持的威胁行为组织。

　　作为代号为“盔甲穿孔机”（ Armor Piercer）的新型网络攻击行动的一部分，研究人员观察到攻击者使用了已攻陷网站和假域名作为有效载荷托管，这是一种已经与APT36相关联的策略。

　　攻击者以Office文件和归档文件的形式向他们选定的目标受害者投递各种诱饵，主要伪装成与印度政府建筑有关的指南和文件，包括Kavach（印度语“盔甲”）。

　　作为这些攻击的一部分，攻击者还使用服务器端脚本发送恶意电子邮件，并使用web shell在受感染的网站上保持隐蔽存在。

　　在这些攻击中使用的商用RAT木马为攻击者提供了对目标系统的全面控制，还可以用于在沦陷网络上部署额外的有效负载。

　　该活动似乎自2020年12月以来一直在进行，使用携带恶意VBA宏的Microsoft Office文档，旨在获取和执行恶意加载程序。最后的有效载荷通常是RAT。

　　在2021年3月和4月之间，下载者被用来获取和运行RAT有效负载，在2021年5月，使用了一个使用诱饵URL的基于c#的下载者，而在6月，Pastebin被用来承载有效负载。在整个活动中，经过修改的开源项目被用来加载基于。net的木马二进制文件，然后再加载RAT远控木马。

　　除了Netwire和AveMaria RAT系列之外，对手还在被攻陷的系统上部署了基于。 net的自定义文件枚举器模块。

　　Netwire RAT允许攻击者从浏览器窃取凭证、运行命令、获取系统信息、操作文件、枚举和终止进程，以及执行键盘记录。

　　AveMaria具有远程桌面功能，还可以从网络摄像头捕捉图像，从浏览器和电子邮件应用程序窃取凭证，操作文件，执行命令，记录按键，枚举和终止进程，并部署反向shell。

　　Talos安全研究人员称，使用这些RAT木马对攻击者有双重好处——它使归因变得困难，并节省了开发定制植入程序的成本。然而，从2021年7月开始，他们观察到文件枚举器与RAT木马一起部署。这表明攻击者正在扩大他们的恶意软件库，把目标对准他们的受害者：印度的军方和政府人员。