Cofense 最近发现并命名了一种名为 Poco RAT 的新恶意软件，这是一种针对西班牙语受害者的简单远程访问木马。 它于 2024 年初首次被观察到，主要针对采矿业的公司，最初通过嵌入到 7zip 档案（包含 Google Drive 上托管的可执行文件）的链接进行分发。 活动正在运行并继续显示相同的 TTP。 该恶意软件的大部分自定义代码似乎都专注于反扫描、与其命令和控制中心 (C2) 通信以及下载和执行文件，而对监视或收集凭据的关注有限。

第一视角和分类

Poco RAT 于 2024 年 2 月 7 日首次被识别并分配为恶意软件家族。 这些字符串用于将恶意软件标记为“Poco RAT”。 它具有本报告中将描述的活动的所有特征。

观察到的目标部门

虽然 Poco RAT 最初针对的是采矿业客户，但随着时间的推移，到 2024 年第二季度，该活动总共扩展到四个行业。活动期间目标行业的分布如图 1 所示。值得注意的是，尽管有四个目标行业总的来说，在撰写本报告时，采矿业仍然是大部分目标。 尽管行业多种多样，但值得注意的是，有一家公司是最具针对性的，占这些 Poco RAT 活动总量的 67%。

图 1：Poco RAT 活动中按企业邮箱量划分的目标行业。

企业邮箱功能

企业邮箱活动具有几个一致的特征，使识别变得非常简单。

• 这些企业邮箱有一个金融主题，主题和邮件正文表明了这一点。
• 企业邮箱主题行和邮件正文的语言是西班牙语。
• 这些企业邮箱包含指向 Google 云端硬盘上托管的 7zip 存档的链接，或者包含嵌入在文件中的链接的文件，用于下载 Google 云端硬盘上托管的 7zip 存档。

大多数企业邮箱的示例如图 2 所示。

图 2：通过 Poco RAT 通过企业邮箱正文图像中嵌入的 Google Drive 链接发送的企业邮箱。

交货方式

每封企业邮箱最终交付的文件是包含可执行文件的 7zip 存档。 存档可以通过三种不同的方式交付。 第一种也是最常见的一种是通过直接嵌入企业邮箱中的 Google Drive URL。 如图 3 所示，这占企业邮箱的 53%。 第二种最常见的方式是通过 HTML 文件中的嵌入链接，这种方式的出现率为 40%。 HTML 文件可以通过另一个嵌入链接附加或下载，该链接也托管在 Google Drive 上。 最后，附加的 PDF 可能包含从 Google 云端硬盘下载存档的链接。

图 3：Poco RAT 活动中按企业邮箱量划分的 7zip 存档传送方法。

企业邮箱正文中嵌入的 URL

最常见的交付方法是嵌入在企业邮箱正文中的 Google 云端硬盘 URL，该企业邮箱可下载包含可执行文件的 7zip 存档。 图 2 显示了使用此策略的企业邮箱示例。恶意行为者经常使用 Google Drive 等合法文件托管服务来绕过安全企业邮箱网关 (SEG)，多年来许多不同的威胁行为者和 APT 组织都在使用此策略。

下载的 HTML

分发 Poco RAT 的第二常见方法是 HTML 文件，占 40%。 具体来说，这些企业邮箱包含一个嵌入的 Google Drive 链接，允许下载 HTML 文件。 HTML 文件（如图 4 所示）随后提供了一个链接，允许下载包含 Poco RAT 可执行文件的 7zip 存档。 这种策略可能比简单地提供 URL 来直接下载恶意软件更有效，因为任何抓取嵌入 URL 的 SEG 只会下载并验证 HTML 文件，该文件看起来是合法的。

图 4：下载的 HTML 文件的内容，其中嵌入了用于下载 Poco RAT 的 Google Drive 链接。

附PDF

最后也是最罕见的 Poco RAT 交付方法是通过 PDF 附件，仅占所有企业邮箱的 7%。 图 5 显示了其中一个 PDF 的示例。该 PDF 文件包含一个嵌入的 Google Drive 链接，与本次活动中一样，该链接下载了包含 Poco RAT 可执行文件的 7zip 存档。 尽管这是最罕见的邮寄形式，但根据对类似活动的分析，使用带有嵌入式链接的 PDF 附件而不是直接嵌入企业邮箱中的链接实际上是规避 SEG 的最有效方法。 这是因为 SEG 通常认为 PDF 文件是非恶意的，如果处理正确，PDF 文件可能会嵌入对分析方法隐藏的 URL。

图 5：附带的 PDF 文件，其中嵌入了用于下载 Poco RAT 的 Google Drive 链接。

恶意软件特征

检测率

使用大型元数据可能是为了规避防病毒 (AV) 软件。 然而，由于可执行文件的平均检测率为 38%，因此它不太可能成功。 存档检测率较低，但仍然很高，平均为 29%，而首次提交给 VirusTotal 时，任何防病毒软件都没有检测到所使用的传递机制。 可执行文件不仅面临很高的检测率，而且几乎在所有情况下都检测到了它们的可疑行为，例如搜索调试环境、检查用户输入和长时间休眠。

POCO C++ 库

Poco RAT 使用 POCO C++ 库，并从这些库中得名。 这些库是非常流行的跨平台开源库，用于向桌面和移动应用程序添加网络功能。 与使用自己的自定义代码或使用不太广泛的库相比，这使得使用它们的恶意软件更不可能被检测到。

可执行的细节

Poco RAT 是一个带有 .exe 文件扩展名的可执行文件。 它是用 Delphi 编写的，有时用 UPX 压缩，并且每个可执行文件中都包含异常数量的 Exif 元数据。 元数据通常包括随机公司名称、内部名称、原始文件名、产品名称、合法版权和商标以及各种版本号。

行为

Poco RAT 具有一致的行为。 当执行可执行文件时，它通常通过注册表项建立持久性。 然后，它启动合法的 grpconv.exe 进程，该进程不太可能在现代 Windows 操作系统上合法运行。 然后 Poco RAT 将自身注入 grpconv.exe 并连接到其命令和控制 (C2) 位置。 此 C2 始终托管在 94(.)131(.)119(.)126 上，并至少连接到 3 个端口之一：6541、6542 或 6543。除非受感染计算机的本地化地理位于拉丁美洲，否则会尝试通信没有收到来自 C2 的响应。 如果受感染的计算机似乎来自拉丁美洲，则在很长一段时间内几乎不会进行任何对话。 除了能够传达有关环境的基本信息之外，Poco RAT 似乎还能够下载和执行文件，使其能够传播其他更专门用于窃取信息的恶意软件甚至勒索软件。