Шпигунський троянець атакує Східну Азію через Google Диск

05.12.2017 | 11:10
Експерти стежать за активністю нового троянця віддаленого доступу під назвою UBoatRAT, який зловмисники використовують проти організацій і співробітників зі зв'язками з Південною Кореєю або індустрією відеоігор.

Хоча вибір цілей в рамках поточної кампанії поки не зовсім зрозумілий, дослідники з підрозділу Unit 42 компанії Palo Alto Networks виявили, що UBoatRAT еволюціонує і стає все більш витонченим. Так, у вересневих зразках зловреда з'явилися нові методи маскування і закріплення в системі.

«На даний момент ми точно не знаємо, за яким принципом вибираються цілі. В якості робочої версії можна припустити, що зловмисники атакують організації і співробітників, які мають зв'язки з Південною Кореєю або індустрією відеоігор», - пише Каору Хаясі (Kaoru Hayashi), аналітик Palo Alto Networks по кіберзагрозам, в звіті Unit 42, опублікованому минулого тижня. - У списку ми побачили назви ігор на корейській мові, імена корейських ігрових компаній і деякі слова зі сфери відеоігор».

Вперше троянець UBoatRAT був виявлений командою Unit 42 в травні 2017 року. На той момент це був простий HTTP-бекдор, обмінюються даними з командним сервером через публічний гонконгський сервіс ведення блогів і зламаний сервер в Японії. До вересня RAT-троянець еволюціонував - зловмисники стали використовувати Google Диск для поширення зловредів і репозиторії GitHub як сховище інформації про командному сервері, яку зловредів видобуває через URL-адреси. Він також задіє фонову інтелектуальну службу передачі (BITS) в Microsoft Windows, щоб закріпитися в цільовій системі.

Перш за все BITS застосовується для розповсюдження оновлень Windows і стороннього ПО. У цієї служби багата історія по частині коректного використання, що тягнеться ще з 2007 року. Але навіть до цього дня BITS привертає хакерів, оскільки цей компонент Windows здатний отримувати або відправляти файли через додатки, яким довіряє мережевий екран комп'ютера. У минулому році дослідники обчислили зловмисників, які користувалися функцією «повідомлення» в BITS для поширення шкідливих програм і закріплення в системі.

Дослідники з'ясували, що творці UBoatRAT використовують інструмент командного рядка Bitsadmin.exe служби BITS, щоб створювати і відстежувати завдання BITS.

«Цей інструмент дозволяє задати параметр / SetNotifyCmdLine для запуску програми після завершення завдання - або після передачі даних, або після помилки. Таким чином UBoatRAT закріплюється в системі і продовжує працювати навіть після перезапуску», - відзначили експерти.

За даними Palo Alto, троянець UBoatRAT потрапляє на цільову систему після відкриття URL-адреси, що вказує на виконувані файли або ZIP-архіви на Google Диску.

Після запуску UBoatRAT намагається визначити, чи входить цільова система в більшу корпоративну мережу або це звичайний домашній ПК. Для цього зловредів перевіряє, чи є комп'ютер частиною домену Active Directory, що зазвичай характерно для корпоративних ПК. Зловредів також запрограмований на виявлення ПО для візуалізації (VMWare, VirtualBox або QEmu), зазвичай застосовується ІБ-дослідниками.

Якщо зловредів не знаходить ідеальний хост, він генерує випадкові системні помилки Windows і завершує роботу виконуваного файлу UBoatRAT.

За словами дослідників, зв'язок з командним сервером організована через прихований адресу C2: «Автори UBoatRAT приховують адресу сервера C2 і порт призначення в файлі, розміщеному на GitHub і доступному через URL. Встановивши приховане підключення до C2, бекдор буде чекати команд від атакуючого».

Ці команди в числі іншого дають можливість «перевірити, чи активний RAT», «відкрити командну оболонку» і «завантажити файли на заражений комп'ютер».

Шкідлива програма була названа в честь способу, яким вона декодує символи з URL-адреси GitHub.

«Зловредів звертається до URL-адресою та декодує символи між рядком [Rudeltaktik] і символом«! »За допомогою BASE64. Rudeltaktik - це німецький військовий термін, що описує тактику бойових дій підводних човнів за часів Другої світової війни», - пояснюють експерти.

У червні репозиторій uuu на GitHub з посиланням на сервер C2 видалили і замінили на uj, hhh і enm, як повідомляє Хаясі. Цим репозиторієм GitHub управляє користувач з аккаунтом elsa999.

«Хоча новітня версія UBoatRAT з'явилася у вересні, в жовтні ми відзначили ряд оновлень на GitHub в акаунті elsa999. По всій видимості, автор активно продовжує розробку або тестування зловреда. Ми продовжимо стежити за його активністю і повідомимо про зміни», - сказав Хаясі.
 
аналітика, шкідливі програми, UBoatRAT, Шпигунський троянець, Google Диск
По матеріалам threatpost.ru
Стрічка новин: FacebookLiveJournalЯндекс

Коментарі (0)
Залиште коментар:Captchaвідновити код перевірки