新的恶意软件系列使用自定义UDP协议进行C&C通信

据Palo Alto的研究人员称，他们称之为RANCOR的黑客组织使用了两个新的恶意软件家族—；原告和DDKONG—；主要针对新加坡和柬埔寨的政治实体。

然而，在前几年，KHRAT特洛伊木马背后的威胁参与者据称与一个名为DragonOK的中国网络间谍组织有关。

在监控C&amp；与KHRAT特洛伊木马相关的C基础设施，研究人员发现了这两个恶意软件家族的多个变种，其中PLAINTEE似乎是该组织武库中的最新武器，它使用自定义UDP协议与其远程命令和控制服务器进行通信。

为了传递PLAINTEE和DDKONG，攻击者使用带有不同感染载体的矛式网络钓鱼消息，包括Microsoft Office Excel文件、HTA加载程序和DLL加载程序（其中包括诱饵文件）中的恶意宏。

研究人员解释说：“这些诱饵包含主要关注政治新闻和事件的公共新闻文章的细节。”。“此外，这些诱饵文件托管在合法网站上，包括柬埔寨政府的一个政府网站，以及至少一次的Facebook。”

此外，普莱恩特还从其C&amp；C服务器使用相同的自定义UDP协议，以编码形式传输数据。

研究人员说：“这些家庭利用自定义网络通信来加载和执行攻击者托管的各种插件。”。“值得注意的是，PLAINTEE恶意软件使用自定义UDP协议的情况非常罕见，在构建未知恶意软件的启发式检测时值得考虑。”

另一方面，DDKONG自2017年2月以来一直被黑客组织使用，没有任何像PLAINTEE这样的自定义通信协议，但尚不清楚是否只有一个或多个威胁参与者使用该恶意软件。

研究人员称，这两个恶意软件家族的最终有效载荷表明，这两个恶意软件的目的都是对其政治目标进行网络间谍活动；而不是从他们的目标那里偷钱。

由于RANCOR group主要针对不懂技术的用户，因此建议其始终对通过电子邮件发送的任何未经邀请的文档持怀疑态度，并且除非充分验证其来源，否则切勿点击这些文档中的链接。

此外，最重要的是，使用基于行为的防病毒软件，在恶意软件感染您的设备之前，可以检测并阻止此类恶意软件，并始终保持其和其他应用程序的最新状态。