BIOPASS RAT

BIOPASS RAT说明

此前未知的远程访问特洛伊木马 (RAT) 威胁已被发现,作为针对中国在线赌博公司的水坑攻击的有害操作的一部分。研究人员将恶意软件命名为 BIOPASS RAT,并发布了一份详细介绍其功能的报告。该威胁通过恶意软件加载程序传递给受感染站点的访问者,该加载程序伪装成合法且众所周知但现已弃用的软件产品。已观察到加载程序将自身作为 Adobe Flash Player 或 Microsoft Silverlight 的安装程序传递。威胁行为者通常将感染脚本放置在受感染站点的在线支持页面上。当加载程序在受害者的机器上执行时,它会丢弃Cobalt信标或 BIOPASS RAT 有效载荷。

BIOPASS RAT 可以流式传输受害者的屏幕

BIOPASS RAT 是使用 Python 编程语言编写的,是一种成熟的远程访问威胁,有一些曲折。它可以操纵文件系统——删除或创建目录,删除、下载或上传文件,以及杀死选定的进程并执行任意命令。然而,BIOPASS RAT 下载了一些工具来帮助它实现其邪恶目标,例如捕获系统的屏幕截图。然而,威胁甚至更远。通过删除和利用流行的流媒体和视频录制产品 OBS(开放广播软件)Studio 的框架,BIOPASS 能够通过 RTMP(实时消息协议)将被破坏设备的屏幕实时流式传输到云服务。

此外,可以命令BIOPASS 访问来自中国流行的多个Web 浏览器和即时消息应用程序的大量敏感私人数据。目标应用包括QQ浏览器搜狗资源管理器2345资源管理器、微信、360安全浏览器、QQ和阿里旺旺。所有泄露的用户数据,连同 BIOPASS RAT Python 脚本,都通过利用其对象存储服务 (OSS) 存储在阿里云 (Aliyun) 上。

威胁归属

虽然还没有定论,但已经发现了 BIOPASS RAT 与 Winnti Group (APT41 ) 之间的一些联系,Winnti Group (APT41) 是一个专门从事网络间谍攻击的复杂的中国相关威胁参与者。可以通过用于签署 BIOPASS RAT 加载程序二进制文件的证书在两者之间建立一种连接。其中许多很可能是从韩国或台湾游戏工作室盗用的。这是 Winnti 黑客的既定特征,他们在过去的恶意操作中合并了属于游戏好学的盗用证书。

其中一个 BIOPASS RAT 加载程序证书也被用于对 Derusbi 恶意软件的服务器端变体进行签名。这种特殊威胁已成为多个 APT(高级持续威胁)组织的威胁工具包的一部分。但是,服务器端变体已被 Winnti Group 观察为攻击中的加载程序。趋势科技的研究人员还发现了一个 Cobalt Strike 加载器,其中包含一个 PBD 字符串和 C&C 域,这些域已经被归咎于 Winnti 的黑客。

BIOPASS RAT 被认为仍在积极开发中,因此随着威胁的更复杂版本的发布,它带来的危险在未来可能会变得更大。