Anpassade råtta angriper sydkoreanska organisationer

Computer Security News

Palo Alto Networks rapporterade att hackare har använt en anpassad fjärråtkomst Trojan (råtta) i attacker relaterade till sydkoreanska organisationer och video gaming industrin.

Den anpassa trojanen kallas UBoatRAT och den distribueras via Google Drive länkar. RÅTTAN erhåller dess kommando och kontroll (C & C) adress från GitHub och använder Microsoft Windows Background Intelligent Transfer Service (BITS) för att upprätthålla uthållighet.

UBoatRAT märktes först i maj i år, då det var en enkel HTTP bakdörr med en offentlig bloggtjänst i Hong Kong och en komprometterad webbserver i Japan för C & C. Sedan dess har malware skapare har lagt till många nya funktioner och släppt uppdaterade några versioner av trojan. Analyserade attackerna sågs i September 2017.

För närvarande malware målen är inte klart, men de Palo Alto Networks experterna tror att de är relaterade till Korea eller spelindustrin på grund av de koreanska speltitlar, Korea-baserat spel företagsnamn och de ord som används i datorspel verksamheten som användes för leverans.

Enligt forskarna, UBoatRAT utför skadliga aktiviteter på komprometterad maskinen bara när du ansluter till en Active Directory-domän, menande att de flesta hem användaren system inte påverkas eftersom de inte är del av en domän.

Vanligtvis, UBoatRAT levereras via ett ZIP-arkiv på Google Drive och som innehåller en skadlig körbar fil förklädd till en mapp eller ett Microsoft Excel-arket. De senaste varianterna av trojan maskerad är Microsoft Word-dokument.

När det körs på en komprometterad dator, UBoatRAT kontroller för virtualization mjukvaran sådan som VMWare, VirtualBox, QEmu, och försöker få domännamn från nätverksparametrarna. Om hotet finner en virtuell miljö eller misslyckas att få domännamnet, det visar en falsk felmeddelande och avslutas processen.

I andra fall, trojanen kopierar sig själv till C:\programdata\svchost.exe, skapar och utför C:\programdata\init.bat, visar ett specifikt meddelande och avslutas.

UBoatRAT använder den Microsoft Windows överför tjänsten BITS (Background Intelligent) för Persistens och det är att köra även efter omstart av systemet. C & C adress och målporten är gömda i en fil som finns på GitHub, och malware har åtkomst till filen med en specifik URL. En anpassad C & C protokollet används för kommunikation med hackarens server.

Bland kommandona bakdörr fick från hacker är: online (håller RÅTTAN online), downfile (nedladdningar filen från komprometterade maskin), upfile (överför filen till komprometterad maskin), lever (kontroller om RÅTTAN är levande), exec (utför processen med UAC Bypass med Eventvwr.exe och registret kapning), start (startar CMD skalet), curl (nedladdningar filen från angiven webbadress), pslist (visar processer som körs) och pskill (avslutar angiven process).

Palo Alto experterna har identifierat fjorton prover av UBoatRAT, samt en downloader är associerad med cyberattacker. Forskarna har också associerade trojan med GitHub konto ‘elsa999’ och drog slutsatsen att dess skapare har ofta uppdaterat förråd.


Leave a Reply

Your email address will not be published. Required fields are marked *