Ένα νέο Remote Access Trojan (RAT), που ανακαλύφθηκε από ερευνητές ασφαλείας, φαίνεται ότι συνδέεται με μία ομάδα hacking που ειδικεύεται σε επιθέσεις εναντίον κυβερνήσεων και διπλωματών.
Την Πέμπτη, οι ερευνητές της Cisco Talos, δήλωσαν ότι το κακόβουλο λογισμικό, που ονομάζεται ObliqueRAT, αναπτύσσεται σε μια νέα εκστρατεία η οποία στοχεύει κυρίως τη Νοτιοανατολική Ασία.
Η τελευταία εκστρατεία ξεκίνησε τον Ιανουάριο του 2020 και βρίσκεται ακόμα σε εξέλιξη. Οι hacker χρησιμοποιούν μηνύματα ηλεκτρονικού ψαρέματος ως κύριο μέσο της επίθεσης, στα οποία προσθέτουν συνημμένα αρχεία Microsoft Office με κακόβουλο λογισμικό.
Τα συνημμένα έχουν αθώα ονόματα, όπως Company-Terms.doc ή DOT_JD_GM.doc, τα οποία μπορεί να είναι συντομογραφίες για το “Department of Telecommunications_Job Description_General Manager”.
Τα αρχεία φαίνεται να προστατεύονται επίσης από κωδικό πρόσβασης, μια τεχνική που μπορεί να έχει σχεδιαστεί για να κάνει τα έγγραφα να φαίνονται νόμιμα και ασφαλή στις εταιρικές ρυθμίσεις. Τα διαπιστευτήρια που απαιτούνται για το άνοιγμα του αρχείου ενδέχεται να περιέχονται στο κύριο σώμα του μηνύματος ηλεκτρονικού “ψαρέματος“.
Αν το θύμα εισάγει τον κωδικό πρόσβασης και ανοίξει το έγγραφο, ενεργοποιείται μια κακόβουλη δέσμη ενεργειών VB, εξάγοντας ένα κακόβουλο δυαδικό αρχείο και κατεβάζοντας ένα εκτελέσιμο, το οποίο λειτουργεί ως dropper για το ObliqueRAT.
Η Talos χαρακτήρισε το RAT ως απλό, που περιέχει τις βασικές λειτουργίες ενός τυπικού Trojan, συμπεριλαμβανομένης της δυνατότητας εξαγωγής αρχείων και δεδομένων συστήματος για μεταφορά σε έναν command and control server, της λειτουργικότητας για τη λήψη και την εκτέλεση επιπλέον payloads και της δυνατότητας τερματισμού των υφιστάμενων διαδικασιών.
Ένα ενδιαφέρον χαρακτηριστικό ωστόσο, είναι ότι το κακόβουλο λογισμικό αναζητά ένα συγκεκριμένο κατάλογο για να κλέψει τα αρχεία που περιέχει. Το όνομα του καταλόγου είναι C: \ ProgramData \ System \ Dump.
Προκειμένου να αποφύγει την ανίχνευση, το κακόβουλο λογισμικό θα ελέγξει επίσης το όνομα και τις πληροφορίες του συστήματος για ενδείξεις ότι ο υπολογιστής είναι “sandboxed”.
Σύμφωνα με την Talos, οι ομοιότητες μεταξύ του τρόπου διάδοσης του RAT και των μεταβλητών που χρησιμοποιούνται στα κακόβουλα έγγραφα του VBA, υποδεικνύουν μια πιθανή σύνδεση με την CrimsonRAT, μια ομάδα που έχει στο παρελθόν συνδεθεί με επιθέσεις εναντίον διπλωματικών και πολιτικών οργανώσεων στην ίδια περιοχή.
