تروجان دسترسی از راه دور سفارشی جدید آسیای شرقی را هدف قرار می‌دهد

یک تروجان دسترسی از راه دور (RAT) که به تازگی کشف شده، در حمله به صنایع بازی‌های ویدئویی مستقر در کره‌ی جنوبی به کار رفته است. شرکت امنیتی Palo Alto Networks گزارشی از حمله‌ی این تروجان منتشر کرده است.

 

این تروجان UBoatRAT نامیده می‌شود و از طریق پیوندهای گوگل درایو توزیع می‌شود. این تروجان دسترسی از راه دور، آدرس کارگزار فرمان و کنترل خود را از GitHub دریافت می‌کند و از سرویس انتقال هوشمند پس‌زمینه‌ی ویندوز مایکروسافت (BITS) برای حفظ پایداری استفاده می‌کند.

این بدافزار اولین بار در ماه مه سال ۲۰۱۷ میلادی، زمانی که یک درب‌پشتی HTTP ساده بود و از یک سرویس وبلاگ عمومی در هنگ‌کنگ و یک کارگزار وب آسیب‌دیده فرمان و کنترل در ژاپن استفاده می‌کرد، مشاهده شد. از آن به بعد، توسعه‌دهنده‌ی آن ویژگی‌های جدیدی به این بدافزار اضافه کرد و نسخه‌ی به‌روز‌شده‌ی آن را در تابستان منتشر کرد. این حملات تحلیل‌شده، در ماه سپتامبر مشاهده شده بودند.

در حالی که هنوز اهداف دقیق کاملاً واضح و مشخص نیستند، Palo Alto Networks معتقد است به این دلیل که عناوین بازی به زبان کره‌ای، نام شرکت‌های بازی کره‌ای و برخی از کلمات استفاده‌شده در کسب‌وکارهای بازی ویدوئویی برای انتقال آن استفاده شده بودند، این اهداف به کره یا صنعت بازی ویدئویی مربوط هستند.

پژوهشگران امنیتی می‌گویند که تروجان UBoatRAT، تنها زمانی که به یک دامنه‌ی دایرکتوری فعال می‌پیوندد، فعالیت‌های مخرب را در دستگاه آسیب‌دیده انجام می‌دهد، به این معنی که بیشتر سامانه‌های کاربر خانگی تحت تاثیر قرار نخواهند گرفت زیرا آن‌ها بخشی از یک دامنه نیستند.

این بدافزار از طریق یک پرونده‌ی فشرده‌شده که در گوگل درایو میزبانی شده انتقال می‌یابد و حاوی یک پرونده‌ی قابل‌اجرای مخرب است که به عنوان یک پوشه یا یک صفحه گسترده‌ی اکسل تغییر شکل داده است. آخرین نسخه‌های این بدافزار به عنوان پرونده‌های سند ورد مایکروسافت تغییر شکل می‌دهند.

هنگامی که این بدافزار در یک دستگاه آسیب‌دیده اجرا می‌شود، نرم‌افزار مجازی‌سازی مانند VMWare، VirtualBox، qemu را بررسی می‌کند و سپس تلاش می‌کند تا از پارامترهای شبکه، به نام دامنه دست یابد. اگر یک محیط مجازی تشخیص دهد یا نتواند نام دامنه را به دست آورد، یک پیام خطا نمایش می‌دهد و خارج می‌شود.

در غیر این‌صورت، UBoatRAT خود را در C:\programdata\svchost.exe کپی می‌کند و پس از نمایش پیام مخصوص و خروج از آن، پرونده‌ی C:\programdata\init.bat را ایجاد و اجرا می‌کند.

 

 

این بدافزار از سرویس انتقال هوشمند پس‌زمینه‌ی ویندوز مایکروسافت (BITS) که یک سرویس برای انتقال پرونده‌ها بین دستگاه‌ها است، برای حفظ پایداری استفاده می‌کند. BITS می‌تواند از طریق ابزار خط فرمان Bitsadmin.exe ایجاد و نظارت شود، که زمانی که کار انتقال داده به اتمام رسید یا با خطا مواجه شد، گزینه‌ای برای اجرای یک برنامه ارائه می‌دهد، و UBoatRAT از این گزینه استفاده می‌کند تا حتی بعد از راه‌اندازی مجدد نیز در سیستم اجرا شود.

آدرس فرمان و کنترل و درگاه مقصد در یک پرونده که در گیت‌هاب میزبانی شده مخفی هستند و این بدافزار با استفاده از یک URL خاص به این پرونده دسترسی پیدا می‌کند. یک پروتکل فرمان و کنترل سفارشی برای ارتباط با کارگزار مهاجمان به کار گرفته می‌شود.

دستورات درب‌پشتی که از مهاجم دریافت می‌شود عبارتند از : alive (بررسی می‌کند که تروجان دسترسی از راه دور زنده است یا خیر)، online (تروجان دسترسی از راه دور را نگه می‌دارد)، upfile (بارگذاری پرونده‌ها در دستگاه آسیب‌دیده)، downfile (بارگیری پرونده از دستگاه آسیب‌دیده)، exec (اجرای فرآیند با دور زدن UAC با استفاده از Eventvwr.exe و سرقت رجیستری)، start (شروع شِل دستورات)، curl (بارگیری پرونده از URL خاص)، pslist (فهرست‌های فرآیندهای در حال اجرا) و pskill (متوقف کردن فرآیند مشخص‌شده).

 

 

پژوهشگران Palo Alto Networks به صورت خاص ۱۴ نمونه از UBoatRAT و همچنین یک بارگیر مرتبط با حملات را شناسایی کرده‌اند. پژوهشگران همچنین این بدافزار را به حساب گیت‌هاب «elsa999» مرتبط کرده‌اند و متوجه شده‌اند که نویسنده‌ی آن به طور مرتب از ماه ژوئیه مخازن را به‌روزرسانی کرده است.

پژوهشگران Palo Alto Networks نتیجه می‌گیرند که: «اگرچه آخرین نسخه‌ی UBoatRAT در ماه سپتامبر منتشر شده بود، ما در ماه اکتبر چندین به‌روزرسانی را در حساب‌های گیت‌هاب «elsa999» مشاهده کرده‌ایم. به نظر می‌رسد نویسنده‌ی آن به شدت در حال توسعه و آزمایش این بدافزار است. ما همچنان نظارت بر فعالیت‌های به‌روزرسانی را ادامه خواهیم داد.»

 

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید