By | November 30, 2017

רשתות בפאלו אלטו דיווחו כי האקרים השתמשו באמצעות גישה מרחוק מותאם אישית טרויאני (עכברים) בהתקפות הקשורים תעשיית משחקי הווידאו וארגונים דרום קוריאני.

הסוס הטרויאני מותאם אישית נקרא UBoatRAT, היא מופצת באמצעות כונן גוגל קישורים. העכברוש משיג שליטה ובקרה שלה (C & C) כתובת מ GitHub והשימושים Microsoft Windows העברה חכמה ברקע שירות (BITS) לשמירה על ההתמדה.

UBoatRAT היה לב לראשונה בחודש מאי השנה, כאשר היה HTTP פשוטה אחורית באמצעות שירות בלוג הציבורית בהונג קונג, שרת אינטרנט שנפרצו ביפן עבור C & C. מאז, היוצר תוכנות זדוניות יש להוסיף תכונות חדשות רבות, שוחררה כמה גירסאות מעודכנות של הסוס הטרויאני. ההתקפות שנותחה נצפו ב ספטמבר 2017.

כיום, מטרות זדוניות אינם ברורים, אולם, המומחים בפאלו אלטו רשתות חושב כי הן קשורות קוריאה או תעשיית משחקי וידאו בגלל הכותרות משחק בשפה הקוריאנית, קוריאה מבוססת החברה משחק שמות, והמילים פעם במשחקי וידאו עסקים אשר שימשו לצורך מסירה.

לדברי החוקרים, UBoatRAT מבצע פעולות זדוניות במחשב פרוץ בלבד בעת הצטרפות של Active Directory, לא השפיעו משמעות כי רוב בבית מערכות המשתמש מכיוון שהם אינם חלק מתחום.

בדרך כלל, UBoatRAT מועבר באמצעות ארכיון ZIP המתארח כונן גוגל, המכיל קובץ הפעלה זדוני המוסווה תיקיה או Microsoft Excel גיליון אלקטרוני. וריאנטים האחרונה של לנשף המסכות טרויאניים הם קובצי מסמך Microsoft Word.

אחרי זה פועל על מכשיר פרוץ UBoatRAT בדיקות עבור וירטואליזציה תוכנה כגון VMWare, VirtualBox, QEmu, ומנסה להשיג שם התחום של הפרמטרים של הרשת. במקרה האיום ימצא סביבה וירטואלית או מצליח לשכנע את שם התחום, הוא מציג הודעה שגיאה מזויף, פורש את התהליך.

במקרה השני, הסוס הטרויאני המעתיק את עצמו כדי C:\programdata\svchost.exe, יוצר, ביצוע C:\programdata\init.bat, מציג הודעה ספציפית, נסגר.

UBoatRAT שימושים Microsoft Windows העברה חכמה ברקע שירות (BITS) על ההתמדה ועל זה יש אפשרות לפעול אפילו לאחר אתחול מחדש של המערכת. C & C יציאת היעד והכתובת מוסתרים בתוך קובץ מתארח על GitHub, ומקבל התוכנה הזדונית את הקובץ באמצעות URL ספציפית. C & C מותאם אישית פרוטוקול הוא מועסק לצורך תקשורת עם השרת של ההאקר.

בין הפקודות אחורית שהתקבלו ההאקר: חי (המחאות אם החולדה בחיים), באינטרנט (ממשיך החולדה באופן מקוון), upfile (העלאות קבצים למכשיר פרוץ), downfile (מוריד קובץ מחשב פרוץ), exec (ביצוע תהליך עם מעקף בקרת חשבון המשתמש באמצעות Eventvwr.exe חטיפת הרישום), התחל (מתחיל CMD shell), קורל (הורדות קבצים מ- URL שצוינה), pslist (רשימת התהליכים הפועלים) ו pskill (סיום תהליך שצוין).

המומחים בפאלו אלטו זיהו ארבעה עשר דוגמאות של UBoatRAT, כמו גם אחד ההורדה המשויכת את התקפות הסייבר. החוקרים גם הסוס הטרויאני המשויכים לחשבון GitHub ‘elsa999’, הגיע למסקנה כי יוצרה לעתים קרובות עדכן מאגרים.

Leave a Reply

Your email address will not be published. Required fields are marked *