Користувальницькі ЩУР атакує південнокорейських організацій

Computer Security News

Пало-Альто мереж повідомили, що хакери використовувати настроювані віддаленого доступу троянський (КРИСА) під час нападів, що відносяться до південнокорейської організацій і відео-ігрової індустрії.

Називається Користувальницькі Троян UBoatRAT, і він розповсюджується через диск Google посилання. ЩУРИ отримує командування і управління (C & C) адреса з GitHub і використання Microsoft Windows фонового передавання служби (BITS) для підтримання наполегливість.

UBoatRAT був першим помітив у травні цього року, коли він був простий HTTP backdoor, використовуючи сервіс громадських блогів у Гонконгу і порушення безпеки веб-сервера в Японії для C & c. З того часу, творець шкідливих програм Додано багато нових можливостей і випустила оновлення для деяких версій trojan. Аналізуються атак теракту в 2017 році вересня.

В даний час шкідливих програм цілі не ясно, однак, Пало-Альто мереж експертів вважають, що вони пов’язані з Кореї або індустрії відеоігор через корейської мови ігрових назв, Корея основі гра компанія імена і слова, використовувані в комп’ютерних іграх бізнесу, які використовувалися для доставки.

На думку дослідників, UBoatRAT виконує шкідливі діяльності на вибраний комп’ютері тільки при входженні домені активних каталогів, означає, що більшість домашнього користувача системи не буде наноситися удар тому, що вони не є частиною домену.

Як правило UBoatRAT доставлені через ZIP архів розміщений на диску Google і які містять зловмисні виконуваний файл під виглядом папку або Microsoft Excel поширення аркуша. Останні варіанти троянський маскарад — файли з документа Microsoft Word.

Після того, як вона працює на вибраний комп’ютері, UBoatRAT здійснюється Пошук програмного забезпечення віртуалізації VMWare, VirtualBox, QEmu і намагається отримати доменне ім’я з мережевих параметрів. У випадку, якщо загроза знаходить віртуальному середовищі або не отримує доменне ім’я, він показує підроблені повідомлення і завершує процес.

В іншому випадку trojan копіюють себе C:\programdata\svchost.exe, створює і виконує C:\programdata\init.bat, відображає конкретні повідомлення і завершення роботи.

UBoatRAT використовує Microsoft Windows фонового передавання служби (BITS) для постійного зберігання та його здатний працювати навіть після перезавантаження системи. C & C адресу і порт призначення, які приховані в файл розміщення на GitHub, а шкідливі програми отримують доступ до файл за допомогою URL-адресу. Користувальницькі C & C протокол використовується для зв’язку з сервером хакера.

Серед backdoor команд, отримані від хакерів: живий (чеків якщо живих ЩУРІВ), онлайн (зберігає ЩУР онлайн), upfile (завантажує файл вибраний комп’ютері), downfile (завантажує з неї файл вибраний комп’ютері), exec (виконує процес з обходом UAC за допомогою Eventvwr.exe і реєстру Угон), початок (починається CMD оболонки), curl (завантажує файл з указаною URL-Адресою), pslist (списки запущені процеси) і pskill (закінчується зазначеного процесу).

Пало-Альто експерти визначили чотирнадцять зразки UBoatRAT, а також один завантажувач, пов’язаних з кібер-атак. Дослідники також trojan, пов’язані з GitHub облікового запису ‘elsa999’ і прийшли до висновку, що її творець має було часто оновлення репозиторіїв.


Leave a Reply

Your email address will not be published. Required fields are marked *