BIOPASS RAT

BIOPASS RAT Beskrivning

Ett tidigare okänt Remote Access Trojan (RAT) -hot har upptäckts som en del av en skadlig operation riktad mot kinesiska onlinespelföretag i en vattenhålsattack. Forskare namngav skadlig programvara BIOPASS RAT och släppte en rapport som beskriver dess kapacitet. Hotet levererades till besökare på de komprometterade webbplatserna via en skadlig programvara som utgör legitima och välkända men nu föråldrade programvaruprodukter. Lastaren har observerats passera sig själv som installatör för Adobe Flash Player eller Microsoft Silverlight. Hotskådespelaren placerade vanligtvis infektionsskriptet på den komprometterade webbplatsens onlinesupportsida. När lastaren körs på offrets maskin, faller det antingen en Cobalt fyr eller BIOPASS RAT nyttolast.

BIOPASS RAT kan strömma offrets skärm

BIOPASS RAT är skriven med Python-programmeringsspråket och är ett fullfjädrat hot om fjärråtkomst med ett par vändningar. Det kan manipulera filsystemet - ta bort eller skapa kataloger, ta bort, ladda ner eller ladda upp filer, samt döda valda processer och kör godtyckliga kommandon. BIOPASS RAT laddar emellertid ner flera verktyg som hjälper den i sina onda mål, till exempel att fånga skärmdumpar av systemet. Hotet går dock ännu längre. Genom att släppa och utnyttja ramen för den populära streaming- och videoinspelningsprodukten OBS (Open Broadcaster Software) Studio kan BIOPASS leva direkt på skärmen för den brutna enheten till en molntjänst via RTMP (Real-Time Messaging Protocol).

Dessutom kan BIOPASS beordras för att få tillgång till en stor uppsättning känslig privat data från flera webbläsare och applikationer för snabbmeddelanden som är populära i Kina. Bland de riktade applikationerna är QQ Browser , Sogou Explorer , 2345 Explorer , WeChat, 360 Safe Browser, QQ och Aliwangwang. All exfiltrerad användardata, tillsammans med BIOPASS RAT Python-skript, lagras på Alibaba Cloud (Aliyun) genom att utnyttja dess objektlagringstjänst (OSS).

Hotet är Erkännande

Även om det inte är avgörande har vissa länkar mellan BIOPASS RAT och Winnti-gruppen ( APT41 ), en sofistikerad kinesrelaterad hotaktör som specialiserat sig på cyberspionageattacker, upptäckts. En anslutning mellan de två kan upprättas via de certifikat som används för att signera BIOPASS RAT-laddningsbinarier. Många av dem misslyckades troligen från sydkoreanska eller taiwanesiska spelstudior. Detta är en etablerad egenskap hos Winnti-hackarna som har införlivat felaktiga certifikat som tillhör spelstudier i sina tidigare skadliga operationer.

Ett av BIOPASS RAT-laddningscertifikaten användes också för att underteckna en serverversion av Derusbi-skadlig programvara. Detta speciella hot har varit en del av de hotfulla verktygslådorna för flera APT-grupper (Advanced Persistent Threat). Serversidan har dock observerats som en lastare i attacker från Winnti Group. Trend Micro-forskarna avslöjade också en Cobalt Strike-lastare med en PBD-sträng och C&C-domäner som redan har tillskrivits hackarna från Winnti.

BIOPASS RAT anses fortfarande vara under aktiv utveckling, så risken för den kan bli ännu större i framtiden med släppandet av ännu mer sofistikerade versioner av hotet.