Tùy chỉnh chuột tấn công Nam Triều tiên tổ chức

Computer Security News

Palo Alto mạng thông báo rằng tin tặc đã sử dụng một truy cập từ xa tuỳ chỉnh Trojan (con chuột) trong cuộc tấn công liên quan đến tổ chức Nam Triều tiên và các ngành công nghiệp video game.

Trojan tùy chỉnh được gọi là UBoatRAT và nó được phân phối thông qua liên kết Google Drive. CHUỘT lấy được lệnh và kiểm soát của nó (C & C) địa chỉ từ GitHub và sử dụng Microsoft Windows nền Intelligent Transfer Service (BITS) cho việc duy trì sự bền Bỉ.

UBoatRAT lần đầu tiên nhận thấy trong tháng năm, năm nay, khi đó là một HTTP đơn giản backdoor sử dụng một khu vực dịch vụ blog ở Hồng Kông và một máy chủ web bị xâm phạm ở Nhật bản cho C & c Kể từ đó, tác giả phần mềm độc hại có thêm nhiều tính năng mới và phát hành cập nhật một số phiên bản của trojan. Các cuộc tấn công phân tích đã được phát hiện vào tháng 9 năm 2017.

Hiện nay, phần mềm độc hại tiêu không rõ ràng, Tuy nhiên, các chuyên gia Palo Alto mạng nghĩ rằng họ có liên quan đến Hàn Quốc hoặc các ngành công nghiệp trò chơi video vì tiêu đề trò chơi ngôn ngữ Hàn Quốc, tên công ty Hàn Quốc dựa trên trò chơi, và các từ được sử dụng trong các trò chơi video doanh nghiệp được sử dụng cho giao hàng.

Theo các nhà nghiên cứu, UBoatRAT thực hiện các hoạt động độc hại trên máy tính bị xâm nhập chỉ khi tham gia một hoạt động thư mục tên miền, có nghĩa rằng hầu hết các nhà hệ thống người dùng sẽ không bị ảnh hưởng bởi vì họ không phải là một phần của vùng.

Thông thường, UBoatRAT được gửi qua một kho lưu trữ ZIP, lưu trữ trên Google Drive và có chứa một tập tin thực thi độc hại cải trang như là một thư mục hoặc một Microsoft Excel sheet lây lan. Các phiên bản mới nhất của trojan masquerade là file tài liệu Microsoft Word.

Sau khi nó đang chạy trên một máy tính bị xâm phạm, UBoatRAT kiểm tra cho phần mềm ảo hóa như VirtualBox, VMWare, QEmu, và cố gắng để có được tên miền từ các thông số mạng. Trong trường hợp các mối đe dọa tìm thấy một môi trường ảo hay không để có được tên miền, nó cho thấy một thông báo lỗi fake và ra khỏi tiến trình.

Trong trường hợp khác, các trojan sao chép chính nó vào C:\programdata\svchost.exe, tạo ra và thực hiện C:\programdata\init.bat, Hiển thị một thông báo cụ thể và quits.

UBoatRAT sử dụng các Microsoft Windows nền thông minh chuyển dịch vụ (bit) cho sự kiên trì và nó có thể chạy ngay cả sau khi khởi động lại hệ thống. C & C địa chỉ và port đích ẩn trong một tập tin lưu trữ trên GitHub, và phần mềm độc hại truy cập các tập tin bằng cách sử dụng một URL cụ thể. Một tuỳ chỉnh C & C giao thức được sử dụng cho giao tiếp với máy chủ của các hacker.

Trong số các lệnh backdoor nhận được từ các hacker là: sống (kiểm tra nếu các con chuột còn sống), trực tuyến (giữ chuột trực tuyến), upfile (tải lên các tập tin máy tính bị xâm phạm), downfile (tải về tập tin từ máy tính bị xâm phạm), exec (thực hiện quá trình với UAC Bypass sử dụng Eventvwr.exe và Registry cướp), bắt đầu (bắt đầu CMD vỏ), curl (tải về tập tin từ đã chỉ định URL), pslist (liệt kê các tiến trình đang chạy) và pskill (chấm dứt quá trình được chỉ định).

Palo Alto các chuyên gia đã xác định mười bốn mẫu của UBoatRAT, cũng như một downloader liên kết với các cuộc tấn công mạng. Các nhà nghiên cứu cũng có liên quan đến các trojan tài khoản GitHub ‘elsa999’ và kết luận rằng tác giả của nó đã được thường xuyên cập nhật kho.


Leave a Reply

Your email address will not be published. Required fields are marked *