UBoatRAT：新型自定义RAT攻击东亚地区

翻译：360代码卫士团队

Palo Alto Networks公司披露称，一款新出现的自定义远程访问木马 (RAT) 针对跟韩国相关的人员和组织机构以及视频游戏行业发动攻击。

这款RAT名为 “UBoatRAT”，它通过Google Drive链接进行传播，从GitHub获取C&C地址并使用微软Windows 背景智能传输服务 (Background Intelligent Transfer Service, BITS) 维护可持续攻击性。

这款恶意软件首次被发现于2017年5月，当时它只是一款简单的HTTP后门，使用一款香港公共博客服务和一台位于日本的受攻陷web服务器查找C&C。此后，开发人员增加了多种新功能并在夏天发布了更新版本。目前的这起攻击发生在9月份。

虽然目前来看，它的攻击目标尚不明朗，但研究人员认为它们跟韩国或视频游戏行业有关，原因是它在传播过程中用到了一些韩语游戏名称、韩国的游戏企业名称以及一些视频游戏中出现的词语。

研究人员指出，UBoatRAT只有在加入一个活动目录域名的时候才会在受攻陷机器上执行恶意活动，也就是说多数家庭用户系统并未受影响，因为后者并非域名的一部分。

UBoatRAT通过托管在Google Drive上且包含伪装成一个文件夹或一个Excel表单的恶意可执行文件的一个ZIP文档进行传播。它的最新变体伪装成了Word文档文件。

在受攻陷设备上运行后，UBoatRAT会检查虚拟软件如VMWare、VirtualBox、QEmu，并试图从网络参数中获取域名。如果它发现虚拟环境或者未能获取域名，则会显示一个虚假的错误信息并退出。否则，UBoatRAT会自我复制到C:\programdata\svchost.exe，并创建和执行C:\programdata\init.bat，随后它会显示一条具体信息并退出。

UBoatRAT使用了Windows BITS（在机器之间传输文件的服务）来维持持续性。可通过Bitsadmin.exe命令行工具来创建并监控BITS任务，该工具提供一种选项：当任务完成传输任务或出现错误时执行程序，而UBoatRAT即使在系统重启后也会通过这个选项在系统上运行。

UBoatRAT的C&C地址以及目的端口隐藏在GitHub文件中，而且它会通过一个特定的URL来访问这个文件。攻击者使用一个自定义C&C协议来跟服务器通信。

从攻击者接收到的后门命令包括：alive（检查RAT是否存活）、online（让RAT始终在线）、upfile（将文件上传到被攻陷机器上）、downfile（从被攻陷设备中下载文件）、exec（通过使用Eventvwr.exe和Registry Hijacking的UAC Bypass执行进程）、start（启动CMD shell）、curl（从具体的URL中下载文件）、plist（列出运行的进程）和pskill（终止某个具体进程）。

研究人员找到了UBoatRAT的14个样本以及跟攻击相关的一个下载器。研究人员还认为UBoatRAT跟GitHub账户 ‘elsa999’ 之间存在关联，而且认为作者从7月开始频繁更新库。

研究人员总结称，“虽然UBoatRAT的最新版本发布在9月份，但10月份我们在elsa999的账户中发现了多次更新。作者似乎在积极开发或测试该威胁。我们将持续它的监控更新活动。"

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接：

http://www.securityweek.com/new-custom-rat-hits-targets-east-asia