BIOPASS RAT

BIOPASS RAT說明

此前未知的遠程訪問特洛伊木馬 (RAT) 威脅已被發現,作為針對中國在線賭博公司的水坑攻擊的有害操作的一部分。研究人員將惡意軟件命名為 BIOPASS RAT,並發布了一份詳細介紹其功能的報告。該威脅通過惡意軟件加載程序傳遞給受感染站點的訪問者,該加載程序偽裝成合法且眾所周知但現已棄用的軟件產品。已觀察到加載程序將自身作為 Adobe Flash Player 或 Microsoft Silverlight 的安裝程序傳遞。威脅行為者通常將感染腳本放置在受感染站點的在線支持頁面上。當加載程序在受害者的機器上執行時,它會丟棄Cobalt信標或 BIOPASS RAT 有效載荷。

BIOPASS RAT 可以流式傳輸受害者的屏幕

BIOPASS RAT 是使用 Python 編程語言編寫的,是一種成熟的遠程訪問威脅,有一些曲折。它可以操縱文件系統——刪除或創建目錄,刪除、下載或上傳文件,以及殺死選定的進程並執行任意命令。然而,BIOPASS RAT 下載了一些工具來幫助它實現其邪惡目標,例如捕獲系統的屏幕截圖。然而,威脅甚至更遠。通過刪除和利用流行的流媒體和視頻錄製產品 OBS(開放廣播軟件)Studio 的框架,BIOPASS 能夠通過 RTMP(實時消息協議)將被破壞設備的屏幕實時流式傳輸到雲服務。

此外,可以命令BIOPASS 訪問來自中國流行的多個Web 瀏覽器和即時消息應用程序的大量敏感私人數據。目標應用包括QQ瀏覽器搜狗資源管理器2345資源管理器、微信、360安全瀏覽器、QQ和阿里旺旺。所有洩露的用戶數據,連同 BIOPASS RAT Python 腳本,都通過利用其對象存儲服務 (OSS) 存儲在阿里雲 (Aliyun) 上。

威脅歸屬

雖然還沒有定論,但已經發現了 BIOPASS RAT 與 Winnti Group (APT41 ) 之間的一些聯繫,Winnti Group (APT41) 是一個專門從事網絡間諜攻擊的複雜的中國相關威脅參與者。可以通過用於簽署 BIOPASS RAT 加載程序二進製文件的證書在兩者之間建立一種連接。其中許多很可能是從韓國或台灣遊戲工作室盜用的。這是 Winnti 黑客的既定特徵,他們在過去的惡意操作中合併了屬於遊戲好學的盜用證書。

其中一個 BIOPASS RAT 加載程序證書也被用於對 Derusbi 惡意軟件的服務器端變體進行簽名。這種特殊威脅已成為多個 APT(高級持續威脅)組織的威脅工具包的一部分。但是,服務器端變體已被 Winnti Group 觀察為攻擊中的加載程序。趨勢科技的研究人員還發現了一個 Cobalt Strike 加載器,其中包含一個 PBD 字符串和 C&C 域,這些域已經被歸咎於 Winnti 的黑客。

BIOPASS RAT 被認為仍在積極開發中,因此隨著威脅的更複雜版本的發布,它帶來的危險在未來可能會變得更大。