BIOPASS RAT

Çinli çevrimiçi kumar şirketlerini bir watering hole saldırısıyla hedef alan zararlı bir operasyonun parçası olarak daha önce bilinmeyen bir Uzaktan Erişim Truva Atı (RAT) tehdidi keşfedildi. Araştırmacılar kötü amaçlı yazılımı BIOPASS RAT olarak adlandırdı ve yeteneklerini detaylandıran bir rapor yayınladı. Tehdit, güvenliği ihlal edilmiş sitelerin ziyaretçilerine, meşru ve iyi bilinen ancak artık kullanımdan kaldırılmış yazılım ürünleri gibi görünen bir kötü amaçlı yazılım yükleyici aracılığıyla iletildi. Yükleyicinin kendisini Adobe Flash Player veya Microsoft Silverlight için yükleyici olarak geçtiği gözlemlendi. Tehdit aktörü genellikle bulaşma komut dosyasını güvenliği ihlal edilen sitenin çevrimiçi destek sayfasına yerleştirir. Yükleyici kurbanın makinesinde çalıştırıldığında, ya bir Cobalt işaretçisi ya da bir BIOPASS RAT yükü bırakır.

BIOPASS RAT'lar Kurbanın Ekranını Yayınlayabilir

Python programlama dili kullanılarak yazılan BIOPASS RAT, birkaç bükülme ile tam teşekküllü bir uzaktan erişim tehdididir. Dosya sistemini değiştirebilir - dizinleri silebilir veya oluşturabilir, dosyaları silebilir, indirebilir veya yükleyebilir, ayrıca seçilen işlemleri sonlandırabilir ve isteğe bağlı komutlar yürütebilir. Bununla birlikte, BIOPASS RAT, sistemin ekran görüntülerini yakalamak gibi kötü niyetli hedeflerine yardımcı olan birkaç araç indirir. Tehdit daha da öteye gidiyor. BIOPASS, popüler akış ve video kayıt ürünü OBS (Open Broadcaster Software) Studio'nun çerçevesini bırakarak ve kullanarak, ihlal edilen cihazın ekranını RTMP (Gerçek Zamanlı Mesajlaşma Protokolü) aracılığıyla bir bulut hizmetine canlı olarak aktarabilir.

Ek olarak, BIOPASS'a Çin'de popüler olan birkaç Web tarayıcısından ve anlık mesajlaşma uygulamasından çok sayıda hassas özel veriye erişmesi için komut verilebilir. Hedeflenen uygulamalar arasında QQ Browser , Sogou Explorer , 2345 Explorer , WeChat, 360 Safe Browser, QQ ve Aliwangwang yer alıyor. BIOPASS RAT Python komut dosyalarının yanı sıra, sızdırılan tüm kullanıcı verileri, nesne depolama hizmetinden (OSS) yararlanılarak Alibaba Cloud'da (Aliyun) depolanır.

Tehdit Atıf

Kesin olmamakla birlikte, BIOPASS RAT ile siber casusluk saldırılarında uzmanlaşmış, Çin bağlantılı sofistike bir tehdit aktörü olan Winnti Group (APT41) arasında bazı bağlantılar keşfedildi. BIOPASS RAT yükleyici ikili dosyalarını imzalamak için kullanılan sertifikalar aracılığıyla ikisi arasında bir bağlantı kurulabilir. Birçoğu büyük olasılıkla Güney Koreli veya Tayvanlı oyun stüdyolarından zimmete para geçirildi. Bu, geçmişteki kötü niyetli operasyonlarında game studious'a ait yanlış tahsis edilmiş sertifikaları birleştiren Winnti korsanlarının yerleşik bir özelliğidir.

BIOPASS RAT yükleyici sertifikalarından biri, Derusbi kötü amaçlı yazılımının sunucu tarafı varyantını imzalamak için de kullanıldı. Bu özel tehdit, çeşitli APT (Gelişmiş Kalıcı Tehdit) gruplarının tehdit araç setlerinin bir parçası olmuştur. Ancak sunucu tarafı varyantı Winnti Group tarafından yapılan saldırılarda yükleyici olarak gözlemlenmiştir. Trend Micro araştırmacıları ayrıca, Winnti'den bilgisayar korsanlarına atfedilen PBD dizisi ve C&C alan adlarına sahip bir Cobalt Strike yükleyicisini de ortaya çıkardı.

BIOPASS RAT'ın hala aktif olarak geliştirilmekte olduğu kabul edilmektedir, bu nedenle oluşturduğu tehlike, tehdidin daha da karmaşık versiyonlarının piyasaya sürülmesiyle gelecekte daha da büyüyebilir.