Κινέζοι hackers χρησιμοποιούν ενημερωμένα RAT για την έναρξη επιθέσεων. Ο λόγος για την ομάδα Bronze Union που είχε εντοπιστεί κατά τη διάρκεια μιας αρκετά διαδεδομένης εκστρατείας του 2018.
Συγκεκριμένα, εντοπίστηκε χρησιμοποιώντας ενημερωμένο πηγαίο κώδικα για να στοχεύσει δεδομένα που ανήκουν σε πολιτικούς, τεχνολογικούς, κατασκευαστικούς και ανθρωπιστικούς οργανισμούς.
Η Bronze Union (γνωστή και ως APT 27, LuckyMouse ή Emissary Panda) εδρεύει στη Λαϊκή Δημοκρατία της Κίνας. Η ομάδα έχει αξιοποιήσει δημόσια διαθέσιμα εργαλεία για την πρόσβαση σε δίκτυα με σκοπό τη συλλογή πολιτικών και στρατιωτικών πληροφοριών.
Στο πιο πρόσφατο campaign η ομάδα χρησιμοποίησε τεχνικές phishing, scan και exploit για να επιτεθεί τους οργανισμούς. Συγκεκριμένα, η ομάδα χρησιμοποίησε ενημερωμένους trojans (RAT) για την εκκίνηση των επιθέσεων, συμπεριλαμβανομένων των ZxShell, Gh0st RAT και malware του SysUpdate.
Στα μέσα του 2018, οι ερευνητές ανέφεραν ότι η Bronze Union ανέπτυξε μια ενημερωμένη έκδοση του ZxShell remote access trojan (RAT).
Πληροφοριακά, το ZxShell δεν ακούστηκε για πολύ καιρό. Αναπτύχθηκε το 2006 από hackers που χρησιμοποίησαν το ψευδώνυμο “LZX”, οι οποίοι δημοσίευσαν τον πηγαίο κώδικα το 2007. Εντούτοις, η ανάπτυξη του RAT από την Bronze Union το 2018 περιείχε κάποιες αβέβαιες ιδιότητες που υποδηλώνουν ότι οι ικανότητες της ομάδας δεν έχουν τελειοποιηθεί.
Για παράδειγμα, το κακόβουλο λογισμικό εντοπίστηκε ενσωματωμένο στο γνωστό εργαλείο ανακατεύθυνσης HTran. Το HTran είναι ένα στοιχειώδες connection bouncer, το οποίο έχει σχεδιαστεί για να ανακατευθύνει το Transmission Control Protocol (TCP) traffic) που προορίζεται για έναν κεντρικό υπολογιστή σε έναν εναλλακτικό κεντρικό υπολογιστή. Το κακόβουλο λογισμικό υπογράφηκε επίσης με ψηφιακά πιστοποιητικά από την Hangzhou Shunwang Technology Co., Ltd και τη Shanghai Hintsoft Co., Ltd.
Η Bronze Union χρησιμοποίησε επίσης νέες παραλλαγές του πηγαίου κώδικα Gh0st RAT που είναι δημόσια διαθέσιμος. Σε μια εκστρατεία του 2018, η Bronze Union ανέπτυξε τροποποιημένο κακόβουλο λογισμικό Gh0st RAT για να επιτεθεί σε πολλαπλά συστήματα σε στοχευμένα περιβάλλοντα.
Όταν εκτελέστηκε με δικαιώματα διαχειριστή, το δυαδικό αρχείο Gh0st RAT γράφτηκε στο % System% \ FastUserSwitchingCompatibilitysex.dll.
Στη συνέχεια, ο hacker δημιούργησε Windows service και μια βιβλιοθήκη δυναμικής σύνδεσης (DLL).
Τέλος, οι hackers χρησιμοποίησαν το ιδιόκτητο εργαλείο απομακρυσμένης πρόσβασης SysUpdate, ένα ευέλικτο κακόβουλο λογισμικό με εύκολα προστιθέμενες δυνατότητες παρέχοντας ένα νέο payload file.
Μετά τη λήψη, το SysUpdate εκτέλεσε ένα δεύτερο payload file. Ο χειριστής θα μπορούσε να αφαιρέσει τις δυνατότητες του δεύτερου σταδίου ανά πάσα στιγμή και να επανέλθει στο πρώτο στάδιο, παρέχοντας ένα payload file αντικατάστασης.
Αυτά τα χαρακτηριστικά περιλάμβαναν remote access δυνατότητες, όπως διαχείριση αρχείων και διαδικασιών, λανσάρισμα command shell, αλληλεπίδραση με υπηρεσίες, λήψη στιγμιότυπων οθόνης και φόρτωση και λήψη πρόσθετων malware payloads.
