0

Троян ObliqueRAT теперь скрывается в изображениях на взломанных сайтах

Кибератаки, стоящие за кампаниями ObliqueRAT, теперь маскируют троян в безобидных файлах изображений на взломанных веб-сайтах.

ObliqueRAT.

Троян ObliqueRAT.

Троян удаленного доступа ObliqueRAT (RAT), обнаруженный в начале 2020 года, нанес удар по организациям в Южной Азии. При первом обнаружении вредоносная программа была описана как «простая» RAT с типичными базовыми функциями трояна, ориентированными на кражу данных, такими как способность извлекать файлы, подключаться к серверу управления и контроля (C2), и возможность завершить существующие процессы. Вредоносное ПО также может проверять наличие любых признаков, указывающих на то, что его цель находится в изолированной программной среде, что является обычной практикой, которую инженеры по кибербезопасности применяют в образцах вредоносных программ обратного проектирования.

С момента своего первоначального открытия ObliqueRAT был обновлен за счет новых технических возможностей и использует более широкий набор исходных векторов заражения. Появилась информация, что новая кампания, разработанная для развертывания RAT, изменила способ обслуживания вредоносного ПО в системах-жертв.

Как ObliqueRAT может проникнуть в ваш компьютер

Раньше документы Microsoft Office отправлялись через фишинговые сообщения электронной почты на цель, содержащую вредоносные макросы, что приводило к прямому развертыванию ObliqueRAT. Однако теперь эти вредоносные программы вместо этого направляют жертв на вредоносные веб-сайты, вероятно, чтобы обойти меры безопасности электронной почты.

Применяется метод, известный как стеганография. Стеганография используется для сокрытия кода, файлов, изображений и видеоконтента внутри другого содержимого файловых форматов, и в этом случае исследователи обнаружили .BMP файлы, которые содержат вредоносные полезные данные ObliqueRAT.

Эти .BMP файлы размещаются на веб-сайтах, которые были взломаны злоумышленниками. Хотя файлы действительно содержат допустимые данные изображения, исполняемые байты также скрыты в данных RGB и при просмотре запускают загрузку .ZIP файла, содержащего ObliqueRAT.

По словам исследователей, вредоносные макросы, содержащиеся в maldoc, извлекают файл архива и развертывают трояна в целевой системе конечных точек.

В общей сложности недавно были обнаружены четыре новые версии вредоносного ПО, которые, по всей видимости, были разработаны в период с апреля по ноябрь 2020 года. Улучшения включают проверку конечных точек в заблокированном списке и имен компьютеров, а также возможность извлечения файлов из внешнего хранилища. Новая командная строка, еще не назначенная, также указывает на то, что в будущем произойдут дополнительные обновления.

ObliqueRAT также был связан с кампаниями по распространению CrimsonRAT. Существуют потенциальные связи с Transparent Tribe (.PDF), спонсируемая государством группа угроз Proofpoint утверждает, что ранее атаковала посольства Индии в Саудовской Аравии и Казахстане. Из-за дублирования инфраструктуры C2 также могут быть связи с кампаниями RevengeRAT.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *