Güney Koreli kuruluşların özel fare saldırıları

Computer Security News

Palo Alto Networks hacker saldırıları Trojan (RAT) Güney Koreli kuruluşlar ve video oyun endüstrisi ile ilgili özel bir uzaktan erişim kullanmış bildirdi.

Belgili tanımlık özel trojan UBoatRAT denir ve Google sürücü bağlantılar aracılığıyla dağıtılır. FAREYİ onun komuta ve kontrol elde eder (C & C) adres GitHub ve sebat korumak için Microsoft Windows arka plan Akıllı Aktarım Hizmeti (BITS) kullanır.

UBoatRAT ilk Mayıs ayında, basit HTTP C & c için genel blog servisi Hong Kong ve Japonya güvenliği aşılan web sunucusu kullanarak arka kapı iken bu yıl fark edildi O zamandan beri kötü amaçlı yazılım creator birçok yeni özellik eklendi ve serbest bırakmak belgili tanımlık trojan bazı sürümleri güncelleştirildi. Analiz saldırıları Eylül 2017 yılında tespit edildi.

Şu anda, kötü amaçlı yazılım hedef açık değildir, ancak, Palo Alto Networks uzmanlar onlar Kore veya video oyun endüstrisi için Kore dili oyun başlık, Kore merkezli oyun şirket adları ve video oyunlarında kullanılan kelimeler nedeniyle ilişkili olduğunu düşünüyorum teslimat için kullanılan iş.

Araştırmacılar, UBoatRAT göre onlar bir etki alanının parçası olmadığı bir Active Directory etki alanına katılmak zaman, çoğu kullanıcı Sistemleri Anasayfa anlamı etkilenebilir olmayacak sadece güvenliği aşılan makinedeki kötü niyetli faaliyetleri gerçekleştirir.

Genellikle, UBoatRAT Google sürücü üzerinde ev sahipliği yaptı ve bir klasörü veya bir Microsoft Excel olarak gizlenmiş kötü niyetli bir yürütülebilir dosya içeren bir ZIP arşivi üzerinden teslim yaymak levha. Truva maskeli balo son türevleri Microsoft Word belge dosyaları vardır.

Sonra güvenliği aşılan bir makinede, VMWare, QEmu, VirtualBox gibi sanallaştırma yazılımı için UBoatRAT çek çalıştıran ve etki alanı ağ parametrelerinden elde etmeye çalışır. Tehdit bir sanal ortam bulur ya da etki alanı adını alamıyor halinde, bir sahte hata iletisi görüntüler ve işlemi sonlandırılır.

Diğer durumlarda belgili tanımlık trojan kendisini C:\programdata\svchost.exe için kopyalar, oluşturur ve C:\programdata\init.bat yürütür, belirli bir ileti görüntüler ve çıkar.

Microsoft Windows arka plan Akıllı Aktarım Hizmeti (BITS) için sebat ve bu çalıştırmak mümkün UBoatRAT kullanan sistem-den sonra rebooting bile. C & C adresini ve hedef bağlantı noktası GitHub barındırılan bir dosyada gizli ve kötü amaçlı yazılım dosyasını belirli bir URL kullanarak erişir. Özel bir C & C Protokolü hacker’ın sunucusuyla iletişim için istihdam.

Hacker alınan arka kapı komutları arasındadır: (fareyi hayattaysa hayatta Çekler), çevrimiçi (tutar fare online), (güvenliği aşılan makineye dosya fotoğraf) upfile, (güvenliği aşılan makineden dosya indirme) downfile, exec (UAC Bypass işlemle yürütür Eventvwr.exe ve kayıt defteri ele geçirme kullanarak), başlangıç (CMD kabuk başlar), (belirtilen URL’den dosya indirme) kıvrılma, pslist (çalışan süreçleri listeler) ve pskill (belirtilen işlemi sona erdirir).

Palo Alto uzmanlar UBoatRAT, on dört örnekleri yanı sıra siber saldırılar ile ilişkili bir downloader belirledik. Araştırmacılar Ayrıca Truva GitHub hesabı ‘elsa999’ ile ilişkili ve onun yaratıcısı depoları sık güncelleme olduğunu sonucuna vardı.


Leave a Reply

Your email address will not be published. Required fields are marked *