Niestandardowe szczur atakuje południowokoreański organizacji

Computer Security News

Palo Alto Networks poinformował, że hakerzy wykorzystali niestandardowe dostępu zdalnego Trojan (RAT) w ataki związane z Korei Południowej organizacji i branży gier wideo.

Niestandardowe trojan nazywa UBoatRAT i jest rozpowszechniany za pośrednictwem dysku Google linki. SZCZUR uzyskuje jego dowodzenia i kontroli (C & C) adres z GitHub i używa Microsoft Windows tło inteligentnego transferu Usługa (BITS) dla utrzymania trwałości.

UBoatRAT został po raz pierwszy zauważył w maju tego roku, kiedy to był prostym HTTP backdoor, za pomocą usługi publiczne blog w Hong Kongu i serwer sieci web w Japonii dla C & C. Od tego czasu, twórcy złośliwego oprogramowania ma dodano wiele nowych funkcji i wydała zaktualizowane wersje niektórych trojan. Analizowane ataki zostały dostrzeżone w września 2017 r.

Obecnie do celów złośliwego oprogramowania nie są jasne, jednak Palo Alto Networks eksperci uważają, że są one związane z Korei lub przemysłu gier wideo z powodu tytuły gier w języku koreańskim, Korea oparty zakład gry nazwy i wyrazy używane w grach wideo firmy, które były używane do dostawy.

Według naukowców, UBoatRAT wykonuje szkodliwe działania na zainfekowanym komputerze, tylko podczas przyłączania do domeny usługi Active Directory, co oznacza, że większość Strona główna użytkownika systemów nie mieć wpływ, ponieważ nie są częścią domeny.

Zwykle UBoatRAT jest dostarczane za pośrednictwem archiwum ZIP znajduje się na dysku Google i zawierające złośliwego pliku wykonywalnego w przebraniu folderu lub programu Microsoft Excel arkusz kalkulacyjny. Najnowszych wariantów trojana masquerade są pliki dokumentów programu Microsoft Word.

Po jest uruchomiony na zainfekowanym komputerze, UBoatRAT kontrole dla oprogramowania do wirtualizacji VMWare, VirtualBox, QEmu i próbuje uzyskać nazwy domeny od parametrów sieci. W przypadku zagrożenia znajdzie środowisku wirtualnym lub nie powiedzie się uzyskać nazwę domeny, pokazuje fałszywy komunikat i kończy proces.

W innym przypadku trojan kopiuje się do C:\programdata\svchost.exe, tworzy i wykonuje C:\programdata\init.bat, wyświetla określonej wiadomości i kończy działanie.

UBoatRAT używa Microsoft Windows tło transferu usługi inteligentnego dla trwałości i to jest w stanie uruchomić nawet po ponownym uruchomieniu systemu. C & C adres i port docelowy, które są ukryte w pliku hostowane w serwisie GitHub, i malware uzyskuje dostęp do pliku, przy użyciu określonego adresu URL. Niestandardowe C & C protokołu jest zatrudniony do komunikacji z serwerem przez hakera.

Wśród backdoor poleceń otrzymanych od hacker: alive (kontrole jeśli szczur jest żywcem), upfile (załaduje plik na zainfekowanym komputerze) i downfile (pliki do pobrania pliku z zainfekowanym komputerze), online (utrzymuje online szczur) exec (wykonuje proces z obwodnica UAC (przy użyciu Eventvwr.exe i rejestru porwanie), start (początek CMD powłoki), curl (pliki do pobrania pliku z określonego adresu URL), pslist (zawiera listę uruchomionych procesów) i pskill (kończy określony proces).

Palo Alto ekspertów zidentyfikowali czternaście próbek UBoatRAT, a także jeden downloader związane z atakami cybernetycznymi. Naukowcy mają także skojarzone trojan z konta GitHub ‘elsa999’ i stwierdził, że jego twórca został często aktualizacji repozytoriów.


Leave a Reply

Your email address will not be published. Required fields are marked *