БИОПАСНАЯ КРЫСА

Ранее неизвестная троянская программа удаленного доступа (RAT) была обнаружена в рамках вредоносной операции, нацеленной на китайские компании, занимающиеся азартными играми, в ходе атаки watering hole. Исследователи назвали вредоносную программу BIOPASS RAT и опубликовали отчет с подробным описанием ее возможностей. Угроза была доставлена посетителям взломанных сайтов с помощью загрузчика вредоносных программ, который выдает себя за законные и хорошо известные, но к настоящему времени устаревшие программные продукты. Было замечено, что загрузчик выдает себя за установщик для Adobe Flash Player или Microsoft Silverlight. Злоумышленник обычно размещал скрипт заражения на странице онлайн-поддержки взломанного сайта. Когда загрузчик запускается на машине жертвы, он сбрасывает либо маяк Cobalt, либо полезную нагрузку BIOPASS RAT.

Крысы BIOPASS могут транслировать экран жертвы

BIOPASS RAT, написанный с использованием языка программирования Python, представляет собой полноценную угрозу удаленного доступа с несколькими особенностями. Он может управлять файловой системой - удалять или создавать каталоги, удалять, загружать или выгружать файлы, а также убивать выбранные процессы и выполнять произвольные команды. Однако BIOPASS RAT загружает несколько инструментов, которые помогают ему в достижении злонамеренных целей, таких как создание снимков экрана системы. Однако угроза выходит далеко за рамки. Отбросив и используя платформу популярного продукта потоковой передачи и записи видео OBS (Open Broadcaster Software) Studio, BIOPASS может транслировать в реальном времени экран взломанного устройства в облачную службу через RTMP (протокол обмена сообщениями в реальном времени).

Кроме того, BIOPASS можно дать команду на доступ к большому набору конфиденциальных личных данных из нескольких веб-браузеров и популярных в Китае приложений обмена мгновенными сообщениями. Среди целевых приложений - QQ Browser , Sogou Explorer , 2345 Explorer , WeChat, 360 Safe Browser, QQ и Aliwangwang. Все извлеченные пользовательские данные, наряду со скриптами Python для BIOPASS RAT, хранятся в Alibaba Cloud (Aliyun) за счет использования его службы хранилища объектов (OSS).

Attribution Угрозы в

Хотя это и не является окончательным, были обнаружены некоторые связи между BIOPASS RAT и Winnti Group ( APT41 ), изощренным китайским злоумышленником, специализирующимся на кибершпионажных атаках. Одно соединение между ними может быть установлено через сертификаты, используемые для подписи двоичных файлов загрузчика BIOPASS RAT. Многие из них, скорее всего, были незаконно присвоены южнокорейскими или тайваньскими игровыми студиями. Это устоявшаяся характеристика хакеров Winnti, которые использовали незаконно присвоенные сертификаты, принадлежащие Game Studios, в свои прошлые злонамеренные операции.

Один из сертификатов загрузчика BIOPASS RAT также использовался для подписи серверного варианта вредоносной программы Derusbi. Эта конкретная угроза была частью угрожающих инструментов нескольких групп APT (Advanced Persistent Threat). Однако вариант на стороне сервера был замечен Winnti Group как загрузчик. Исследователи Trend Micro также обнаружили загрузчик Cobalt Strike со строкой PBD и C&C доменами, которые уже были приписаны хакерам из Winnti.

Считается, что BIOPASS RAT все еще находится в стадии активной разработки, поэтому опасность, которую он представляет, может возрасти в будущем с выпуском еще более сложных версий угрозы.