BIOPASS RAT

BIOPASS RAT Beschrijving

Een voorheen onbekende Remote Access Trojan (RAT) dreiging is ontdekt als onderdeel van een schadelijke operatie gericht op Chinese online gokbedrijven in een watering hole-aanval. Onderzoekers noemden de malware BIOPASS RAT en brachten een rapport uit waarin de mogelijkheden ervan werden beschreven. De dreiging werd aan bezoekers van de gecompromitteerde sites geleverd via een malware-loader die zich voordeed als legitieme en bekende maar inmiddels verouderde softwareproducten. Het is waargenomen dat de lader zichzelf doorgeeft als een installatieprogramma voor Adobe Flash Player of Microsoft Silverlight. De dreigingsactor plaatste het infectiescript meestal op de online ondersteuningspagina van de besmette site. Als de lader wordt uitgevoerd op de computer van het slachtoffer, het daalt ofwel een Cobalt baken of een BIOPASS RAT payload.

BIOPASS RAT's kunnen het scherm van het slachtoffer streamen

BIOPASS RAT is geschreven met de programmeertaal Python en is een volwaardige bedreiging voor externe toegang met een paar wendingen. Het kan het bestandssysteem manipuleren - mappen verwijderen of maken, bestanden verwijderen, downloaden of uploaden, evenals gekozen processen doden en willekeurige opdrachten uitvoeren. De BIOPASS RAT downloadt echter verschillende tools die hem helpen bij zijn boosaardige doelen, zoals het maken van screenshots van het systeem. De dreiging gaat echter nog verder. Door het kader van het populaire streaming- en video-opnameproduct OBS (Open Broadcaster Software) Studio te laten vallen en te exploiteren, is BIOPASS in staat om het scherm van het gehackte apparaat live naar een cloudservice te streamen via de RTMP (Real-Time Messaging Protocol).

Bovendien kan BIOPASS worden bevolen om toegang te krijgen tot een groot aantal gevoelige privégegevens van verschillende webbrowsers en instant messaging-applicaties die populair zijn in China. Tot de beoogde toepassingen behoren QQ Browser , Sogou Explorer , 2345 Explorer , WeChat, 360 Safe Browser, QQ en Aliwangwang. Alle geëxfiltreerde gebruikersgegevens, naast de BIOPASS RAT Python-scripts, worden opgeslagen op Alibaba Cloud (Aliyun) door gebruik te maken van de objectopslagservice (OSS).

Attribution The Threat's

Hoewel niet overtuigend, zijn er enkele verbanden ontdekt tussen BIOPASS RAT en de Winnti Group ( APT41 ), een geavanceerde Chinese gerelateerde bedreigingsacteur die gespecialiseerd is in cyberspionage-aanvallen. Eén verbinding tussen beide kan tot stand worden gebracht via de certificaten die worden gebruikt om de binaire bestanden van de BIOPASS RAT-lader te ondertekenen. Velen van hen zijn hoogstwaarschijnlijk verduisterd door Zuid-Koreaanse of Taiwanese gamestudio's. Dit is een vaststaand kenmerk van de Winnti-hackers die verduisterde certificaten van game studious hebben gebruikt in hun eerdere kwaadaardige operaties.

Een van de BIOPASS RAT-laadcertificaten werd ook gebruikt om een server-side variant van de Derusbi-malware te ondertekenen. Deze specifieke dreiging maakte deel uit van de bedreigende toolkits van verschillende APT-groepen (Advanced Persistent Threat). De variant aan de serverzijde is echter waargenomen als een loader bij aanvallen door de Winnti Group. De Trend Micro-onderzoekers ontdekten ook een Cobalt Strike-lader met een PBD-string en C&C-domeinen die al zijn toegeschreven aan de hackers van Winnti.

De BIOPASS RAT wordt beschouwd als nog steeds in actieve ontwikkeling, dus het gevaar dat het met zich meebrengt, kan in de toekomst nog groter worden met de release van nog geavanceerdere versies van de dreiging.