BIOPASS-RAT

En tidligere ukendt Remote Access Trojan (RAT) trussel er blevet opdaget som en del af en skadelig operation rettet mod kinesiske onlinespilvirksomheder i et vandhullangreb. Forskere navngav malware BIOPASS RAT og udgav en rapport, der beskriver dens muligheder. Truslen blev leveret til besøgende på de kompromitterede websteder via en malware-loader, der udgør som legitime og velkendte, men nu forældede softwareprodukter. Læsseren har observeret sig at passere sig selv som installationsprogram til Adobe Flash Player eller Microsoft Silverlight. Trusselsaktøren placerede normalt infektionsskriptet på det kompromitterede websteds online supportside. Når læsseren udføres på offerets maskine, taber den enten et Cobalt eller en BIOPASS RAT-nyttelast.

BIOPASS RAT'er kan streame offerets skærm

BIOPASS RAT er skrevet ved hjælp af programmeringssproget Python og er en fuldt ud truet med fjernadgang med et par vendinger. Det kan manipulere filsystemet - slette eller oprette mapper, slette, downloade eller uploade filer samt dræbe valgte processer og udføre vilkårlige kommandoer. Imidlertid downloader BIOPASS RAT flere værktøjer, der hjælper det med dets ondskabsfulde mål, såsom at fange skærmbilleder af systemet. Truslen går dog endnu videre. Ved at droppe og udnytte rammerne for det populære streaming- og videooptagelsesprodukt OBS (Open Broadcaster Software) Studio, er BIOPASS i stand til live streaming af skærmen på den brudte enhed til en cloudtjeneste via RTMP (Real-Time Messaging Protocol).

Derudover kan BIOPASS beordres til at få adgang til et stort sæt følsomme private data fra flere webbrowsere og instant messaging-applikationer, der er populære i Kina. Blandt de målrettede applikationer er QQ Browser, Sogou Explorer, 2345 Explorer, WeChat, 360 Safe Browser, QQ og Aliwangwang. Alle exfiltrerede brugerdata sammen med BIOPASS RAT Python-scripts gemmes på Alibaba Cloud (Aliyun) ved at udnytte dets objektlagringstjeneste (OSS).

Truslen er Attribution

Selvom det ikke er afgørende, er nogle forbindelser mellem BIOPASS RAT og Winnti Group ( APT41 ), en sofistikeret kinesisk-relateret trusselsaktør, der er specialiseret i cyberspionage-angreb, blevet opdaget. En forbindelse mellem de to kan etableres via de certifikater, der bruges til at underskrive BIOPASS RAT-læssebinarierne. Mange af dem blev sandsynligvis misbrugt fra sydkoreanske eller taiwanske spilstudier. Dette er et etableret kendetegn ved Winnti-hackere, der har inkorporeret misbrugte certifikater, der tilhører spil, der er studerende i deres tidligere ondsindede operationer.

Et af BIOPASS RAT-loader-certifikater blev også brugt til at underskrive en serverside-variant af Derusbi-malware. Denne særlige trussel har været en del af de truende værktøjssæt fra flere APT-grupper (Advanced Persistent Threat). Imidlertid er server-side-varianten blevet observeret som en loader i angreb fra Winnti Group. Trend Micro-forskerne afslørede også en Cobalt Strike-læsser med en PBD-streng og C&C-domæner, der allerede er tilskrevet hackerne fra Winnti.

BIOPASS RAT anses for stadig at være under aktiv udvikling, så den fare, den udgør, kan blive endnu større i fremtiden med frigivelsen af endnu mere sofistikerede versioner af truslen.