تروجان CannibalRAT که در پایتون نوشته شده در حملات هدفمند مورد استفاده قرار گرفت

پژوهش‌گران سیسکو تالس می‌گویند، به تازگی یک تروجان دسترسی از راه دور شناسایی شده که به طور کامل در پایتون نوشته شده است و در حملات هدفمند مورد استفاده قرار می‌گیرد.

 

این تروجان دسترسی از راه دور با نام CannibalRAT پیچیدگی زیادی ندارد اما نشانه‌هایی از قطعه قطعه کردن کد را دارد. حداقل ۲ نسخه‌ی آن (نسخه‌های ۳ و ۴) که در حملات مورد استفاده قرار گرفته است، هر دو قابلیت‌های معمول تروجان دسترسی از راه دور را دارند، اما دومی فاقد ویژگی‌های مناسب برای پویشی است که کاربران یک مدرسه‌ی مدیریت بخش عمومی برزیلی را هدف قرار می‌دهد.

فعالیت مخرب در رابطه با این تروجان دسترسی از راه دور، پس از ظهور نسخه‌ی دوم در تاریخ ۵ فوریه سال ۲۰۱۸ میلادی افزایش یافته است. نسخه‌ی جدید نیز برای جلوگیری از تشخیص، از مبهم‌سازی استفاده می‌کند، با UPX بسته‌بندی شده و یک تابعی برای تولید رشته‌های تصادفی در حافظه دارد.

هر دو نوع از شمای کدگذاری base16 استفاده می‌کنند تا نام دامنه‌ی فرمان و کنترل و تبادل داده با کارگزار را مبهم‌سازی کنند. همچنین، هر دو از کلید رجیستری «CurrentVersion\Run» به همراه نام سرویس «Java_Update» برای پایداری استفاده می‌کنند.

هنگامی که نسخه‌ی ۴ در دستگاه آلوده اجرا شد، یک پرونده‌ی پی‌دی‌اف ایجاد می‌کند که کد HTML در داخل آن جاسازی شده و برای بارگیری یک تصویر میزبانی شده در دimgur.com طراحی شده است و کروم را راه‌اندازی می‌کند تا پی‌دی‌اف را باز کند.

 

هر دو نسخه به زیرساخت فرمان و کنترل یکسانی متصل می‌شوند، اما نسخه‌ی قدیمی‌تر از درخواست‌های وب استاندارد استفاده می‌کند، در حالی که نسخه‌ی جدیدتر از یک رابط برنامه‌نویسی مبتنی بر REST استفاده می‌کند. روش دوم نام‌کاربری، نام میزبان، و اطلاعات مربوط به قابلیت‌ها را به عنوان بخشی از درخواست اولیه برای کارگزار ارسال می‌کند.

مؤلفه‌های سرقت گواهی‌نامه از کد منبع کی‌لاگر Radium کپی شده، در حالی که تابع تشخیص VM از یک مخزن دیگر گیت‌هاب کپی شده است.

مؤلفه‌های بدافزار نام‌هایی دارند که خود را توضیح می‌دهند و از جمله‌ی آن‌ها می‌توان به runcmd، persistence، download، upload، miner، DDoS، unzip، file، zip، python، update و غیره اشاره کرد. همه‌ی آن‌ها در نسخه‌ی ۳ وجود دارند در حالی که نسخه‌ی ۴ فاقد مؤلفه‌های DDoS، miner، python و update است.

پژوهش‌گران می‌گویند، این مهاجمان از روش FastFlux استفاده می‌کنند تا زیرساخت را مخفی کنند و کارگزارهای نام را با فرکانس بالا تغییر دهند، اما نقاط پایانی که تمایل دارند یکسان باشند متعلق به یک ارائه‌دهنده‌ی خدمات مخابراتی در برزیل هستند.

یکی از دامنه‌های مربوط به این پویش، inesapconcurso.webredirect.org است، که ظاهراً به طور خاص برای این حملات ایجاد شده است. این عامل برای نام خود از مهندسی اجتماعی استفاده می‌کند، inesapconcurso ترکیبی از inesap و concurso است که بیانگر نام مدرسه و کلمه‌ی پرتغالی برای رقابت است.

سیسکو نتیجه‌گیری می‌کند: «با وجود این‌که هدف این پویش مشخص نیست، مهاجمان در تلاش هستند تا تروجان دسترسی از راه دور خود را در حد امکان نامشخص نگه دارند. اما هدف این پویش و قابلیت رویت فرمان و کنترل نشان می‌دهد که این پویش در برزیل فعال است، و داده‌های dns‌ ما رویکرد هدفمند این پویش را تایید می‌کند.»

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید