攻擊者利用三個 RAT 監控烏克蘭政府機構

GIF

聚焦源代碼安全，網羅國內外最新資訊！

翻譯：360代碼衛士團隊

ESET公司的研究人員指出，攻擊者利用三個不同的遠程訪問木馬(RAT)監控烏克蘭。

主要攻擊政府機構

這些攻擊顯然始於2015年年末，但相關研究報告在2018年1月才發布。ESET 公司表示自從2017年中期就一直在追蹤該攻擊活動。攻擊對象主要是政府機構，受害者達到數百人。

這次網路監控活動幕後的攻擊者一直使用多個隱秘的 RAT 滲透敏感文檔。這些 RAT 是 Quasar RAT、Sobaken RAT 和一個自定義 RAT 即 Vermin。

攻擊者似乎缺乏高階技能和訪問 0day 漏洞的能力，他們使用郵件和社工傳播惡意軟體。某些包含 Word 文檔的郵件試圖利用於2017年4月修復的漏洞 CVE-2017-0199。

攻擊者通常利用病毒釋放器將最後的 payload（偽裝成 Adobe、英特爾或微軟的軟體）傳播至 %APPDATA% 文件夾並通過每隔10分鐘執行的預定任務實現可持久性。Steganography 也被用於誘騙內容過濾。

為避免自動化分析系統和沙箱，惡意軟體會檢查系統是否安裝了俄語或烏克蘭語的鍵盤配置，如果未發現則會自我終止。它還檢查系統的 IP 地址和機器上的用戶名。另外，它還檢查和隨機生成的網站名稱/URL 連接是否失敗以確定是否是真正的系統。

三個遠程 RAT

攻擊者至少從2015年10月末開始就從 GitHub 上免費下載並使用了 Quasar RAT。其他黑客組織也在攻擊中使用了這款惡意軟體，包括 Gaza Cybergang （或稱「Gaza 黑客組織」或 Molerats）。

Sobaken 是對 Quasar RAT 的大幅修改版本，不僅刪除功能讓可執行文件變得更小，而且還增加了多種反沙箱和其它規避技術。

Vermin RAT 是一款自定義後門，首次出現在2016年中期，現在仍在使用中。它用 .NET 編寫而成，受 ConfuserEx 保護並使用免費的 Vitevic Assembly Embedder，將所要求的 DLL 嵌入主可執行文件中。

這款惡意軟體支持截屏、讀取目錄內容、上傳/下載/刪除/重命名文件、監控和終止進程、執行 shell、運行鍵盤記錄器、操縱文件夾、捕獲音頻和更新殭屍。

多數命令在主 payload 中實現，但該 RAT 還支持可選組件如音頻記錄器、鍵盤記錄器、密碼竊取器和 USB 文件竊取器。

ESET 公司表示，「和針對烏克蘭高級別組織機構的攻擊者相比，他們並未引發太多的公眾注意。然而，這些攻擊者證明，通過狡猾的社工技術，網路攻擊就能夠在不使用複雜惡意軟體的前提下成功。這件事說明，除了提供高質量的安全解決方案外，還需要提升員工的網路安全意識。」

https://www.securityweek.com/rats-bite-ukraine-ongoing-espionage-campaign

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！