新型远程访问木马 UBoatRAT 针对与韩国视频、游戏等相关行业展开网络攻击
网络安全公司 Palo Alto Networks 研究人员于近期发现一款新型远程访问木马 UBoatRAT,旨在瞄准与韩国视频、游戏行业相关的人员或组织展开针对性网络攻击活动。
调查显示,UBoatRAT 最早于 2017 年 5 月由 Unit 42 安全专家发现。当时,黑客仅仅利用了一个简单的 HTTP 后门并通过香港与日本受损 Web 服务器分发该恶意软件、感染目标 C&C 服务器。随后,UBoatRAT 不断进化,其变种愈加复杂,现主要采用 Google Drive 作为恶意软件分发中心,并使用连接至 GitHub 存储库的 URL 作为重定向 C&C 服务器地址。此外,UBoatRAT 还利用 Microsoft Windows 后台智能传输服务(BITS)保持持久性能。
BITS 是一种用于机器之间传输文件的 Microsoft 服务,以 Windows Update 与第三方软件应用更新而广为人知,其最早可追溯至 2007 年。甚至今天,BITS 仍是黑客最受欢迎的一款服务,因为该服务的 Windows 组件包括使用应用程序获得主机防火墙信任,以便检索或上传任意文件。去年,研究人员发现黑客使用 BITS “通知” 功能传播恶意软件并保持系统持久性能。
研究人员表示,黑客正使用 BITS 二进制 Bitsadmin.exe 文件作为命令行工具创建与监视 BITS 操作。而该恶意软件主要提供了一个选项 /SetNotifyCmdLine,在操作完成数据传输或出错时执行另一程序,以确保恶意代码持续运行(即使系统重启)。不过黑客主要还是通过托管在 Google Drive 上的可执行文件或 Zip 文件分发 UBoatRAT。如果该文件被目标用户打开后,其系统将会自动下载恶意软件并通过检查机器是否为 Active Directory 域的一部分来尝试确定目标系统是大型企业网络还是家用 PC 端口。此外,该恶意软件也被用于检测虚拟化软件(如 VMWare、VirtualBox、QEmu),一旦发现身处虚拟系统,该恶意软件会立即中断执行并试图从网络参数中获取域名,遇上不够理想的主机条件,则会生成各种伪造的 Windows 系统错误消息并退出。
目前,虽然研究人员尚不清楚黑客确切目标,但由于其可执行文件内容与韩国游戏公司、名称,以及视频游戏行业中使用的一些词汇有关,因此他们推测其目标疑似韩国视频、游戏行业的相关人员或组织。近期,研究人员已确定 14 个 UBoatRAT 样本,以及一个与其攻击有关的下载设备。此外,尽管最新版本的 UBoatRAT 于 9 月发布,但其攻击者于 10 月仍在 GitHub 上使用 “elsa999” 账号持续更新,因此研究人员推测该恶意软件幕后黑手似乎正大力开发或测试威胁。
来源:hackernews
往期热门内容推荐
更多安全资讯,戳左下角“阅读原文”查看!