BIOPASS RAT

BIOPASS RAT Opis

Nieznane wcześniej zagrożenie ze strony trojana zdalnego dostępu (RAT) zostało wykryte jako część szkodliwej operacji wymierzonej w chińskie firmy hazardowe online podczas ataku na wodopoju. Badacze nazwali złośliwe oprogramowanie BIOPASS RAT i opublikowali raport szczegółowo opisujący jego możliwości. Zagrożenie zostało dostarczone odwiedzającym zaatakowane witryny za pośrednictwem programu ładującego złośliwe oprogramowanie, który podszywa się pod legalne i dobrze znane, ale obecnie przestarzałe oprogramowanie. Zaobserwowano, że moduł ładujący uchodzi za instalator dla Adobe Flash Playera lub Microsoft Silverlight. Podmiot odpowiedzialny za zagrożenie zwykle umieszczał skrypt infekcji na stronie pomocy technicznej online zaatakowanej witryny. Kiedy program ładujący jest uruchamiany na komputerze ofiary, zrzuca albo sygnał nawigacyjny Cobalt, albo ładunek BIOPASS RAT.

BIOPASS RAT mogą przesyłać strumieniowo ekran ofiary

Napisany przy użyciu języka programowania Python, BIOPASS RAT jest pełnoprawnym zagrożeniem dostępu zdalnego z kilkoma niespodziankami. Może manipulować systemem plików - usuwać lub tworzyć katalogi, usuwać, pobierać lub przesyłać pliki, a także zabijać wybrane procesy i wykonywać dowolne polecenia. Jednak BIOPASS RAT pobiera kilka narzędzi, które pomagają mu w jego niecnych celach, takich jak robienie zrzutów ekranu systemu. Zagrożenie sięga jednak nawet dalej. Porzucając i wykorzystując strukturę popularnego produktu OBS (Open Broadcaster Software) Studio, oprogramowania do strumieniowego przesyłania i nagrywania wideo, BIOPASS jest w stanie przesyłać strumieniowo na żywo ekran uszkodzonego urządzenia do usługi w chmurze za pośrednictwem protokołu RTMP (Real-Time Messaging Protocol).

Ponadto BIOPASS można nakazać, aby uzyskać dostęp do dużego zestawu wrażliwych danych prywatnych z kilku przeglądarek internetowych i popularnych w Chinach komunikatorów internetowych. Wśród docelowych aplikacji znajdują się QQ Browser , Sogou Explorer , 2345 Explorer , WeChat, 360 Safe Browser, QQ i Aliwangwang. Wszystkie eksfiltrowane dane użytkowników, wraz ze skryptami BIOPASS RAT Python, są przechowywane w Alibaba Cloud (Aliyun) dzięki wykorzystaniu jej usługi obiektowej pamięci masowej (OSS).

Uznanie za zagrożenie

Chociaż nie jest to jednoznaczne, odkryto pewne powiązania między BIOPASS RAT a Grupą Winnti ( APT41 ), wyrafinowanym chińskim podmiotem zajmującym się zagrożeniami, który specjalizuje się w atakach cyberszpiegowskich. Jedno połączenie między nimi można ustanowić za pomocą certyfikatów używanych do podpisywania plików binarnych programu ładującego BIOPASS RAT. Wiele z nich zostało najprawdopodobniej przywłaszczonych z południowokoreańskich lub tajwańskich studiów gier. Jest to ustalona cecha hakerów Winnti, którzy w swoich przeszłych złośliwych operacjach włączyli niewłaściwie przywłaszczone certyfikaty należące do twórców gier.

Jeden z certyfikatów programu ładującego BIOPASS RAT został również wykorzystany do podpisania po stronie serwera wariantu złośliwego oprogramowania Derusbi. To konkretne zagrożenie było częścią groźnych zestawów narzędzi kilku grup APT (Advanced Persistent Threat). Jednak wariant po stronie serwera był obserwowany jako loader w atakach Winnti Group. Badacze Trend Micro odkryli również moduł ładujący Cobalt Strike z ciągiem znaków PBD i domenami C&C, które zostały już przypisane hakerom z Winnti.

Uważa się, że BIOPASS RAT nadal jest aktywnie rozwijany, więc zagrożenie, jakie stanowi, może wzrosnąć w przyszłości wraz z wypuszczeniem jeszcze bardziej wyrafinowanych wersji zagrożenia.