Эксперты Palo Alto Networks опубликовали результаты анализа атак троянца UBoatRAT.
Эксперты следят за активностью нового троянца удаленного доступа под названием UBoatRAT, который злоумышленники используют против организаций и сотрудников со связями с Южной Кореей или индустрией видеоигр.
Хотя выбор целей в рамках текущей кампании пока не совсем понятен, исследователи из подразделения Unit 42 компании Palo Alto Networks обнаружили, что UBoatRAT эволюционирует и становится все более изощренным. Так, в сентябрьских образцах зловреда появились новые методы маскировки и закрепления в системе.
«На настоящий момент мы точно не знаем, по какому принципу выбираются цели. В качестве рабочей версии можно предположить, что злоумышленники атакуют организации и сотрудников, имеющих связи с Южной Кореей или индустрией видеоигр», — пишет Каору Хаяси (Kaoru Hayashi), аналитик Palo Alto Networks по киберугрозам, в отчете Unit 42, опубликованном на прошлой неделе. — В списке мы увидели названия игр на корейском языке, имена корейских игровых компаний и некоторые слова из сферы видеоигр».
Впервые троянец UBoatRAT был обнаружен командой Unit 42 в мае 2017 года. На тот момент это был простой HTTP-бэкдор, обменивающийся данными с командным сервером через публичный гонконгский сервис ведения блогов и взломанный сервер в Японии. К сентябрю RAT-троянец эволюционировал — злоумышленники стали использовать Google Диск для распространения зловреда и репозитории GitHub в качестве хранилища информации о командном сервере, которую зловред добывает через URL-адреса. Он также задействует фоновую интеллектуальную службу передачи (BITS) в Microsoft Windows, чтобы закрепиться в целевой системе.
Прежде всего BITS применяется для распространения обновлений Windows и стороннего ПО. У этой службы богатая история по части злонамеренного использования, тянущаяся еще с 2007 года. Но даже по сей день BITS привлекает хакеров, поскольку этот компонент Windows способен получать или отправлять файлы через приложения, которым доверяет сетевой экран компьютера. В прошлом году исследователи вычислили злоумышленников, пользовавшихся функцией «уведомления» в BITS для распространения вредоносных программ и закрепления в системе.
Исследователи выяснили, что создатели UBoatRAT используют инструмент командной строки Bitsadmin.exe службы BITS, чтобы создавать и отслеживать задания BITS.
«Этот инструмент позволяет задать параметр /SetNotifyCmdLine для запуска приложения по завершении задачи — либо после передачи данных, либо после ошибки. Таким образом UBoatRAT закрепляется в системе и продолжает работать даже после перезапуска», — отметили эксперты.
По данным Palo Alto, троянец UBoatRAT попадает на целевую систему после открытия URL-адреса, указывающего на исполняемые файлы или ZIP-архивы на Google Диске.
После запуска UBoatRAT пытается определить, входит ли целевая система в более крупную корпоративную сеть или это обычный домашний ПК. Для этого зловред проверяет, является ли компьютер частью домена Active Directory, что обычно характерно для корпоративных ПК. Зловред также запрограммирован на обнаружение ПО для визуализации (VMWare, VirtualBox или QEmu), обычно применяемое ИБ-исследователями.
Если зловред не находит идеальный хост, он генерирует случайные системные ошибки Windows и завершает работу исполняемого файла UBoatRAT.
По словам исследователей, связь с командным сервером организована через скрытый адрес C2: «Авторы UBoatRAT скрывают адрес сервера C2 и порт назначения в файле, размещенном на GitHub и доступном через URL. Установив скрытое подключение к C2, бэкдор будет ждать команд от атакующего».
Эти команды в числе прочего дают возможность «проверить, активен ли RAT», «открыть командную оболочку» и «загрузить файлы на зараженный компьютер».
Вредоносная программа была названа в честь способа, которым она декодирует символы из URL-адреса GitHub.
«Зловред обращается к URL-адресу и декодирует символы между строкой [Rudeltaktik] и символом «!» с помощью BASE64. Rudeltaktik — это немецкий военный термин, описывающий тактику боевых действий подводных лодок во времена Второй мировой войны», — поясняют эксперты.
В июне репозиторий uuu на GitHub со ссылкой на сервер C2 удалили и заменили на uj, hhh и enm, как сообщает Хаяси. Этим репозиторием GitHub управляет пользователь с аккаунтом elsa999.
«Хотя новейшая версия UBoatRAT появилась в сентябре, в октябре мы отметили ряд обновлений на GitHub в аккаунте elsa999. По всей видимости, автор активно продолжает разработку или тестирование зловреда. Мы продолжим следить за его активностью и сообщим об изменениях», — сказал Хаяси.