Hakerzy wykorzystują zmodyfikowane wersje Remote Access Trojan w najnowszych atakach
Chińska grupa hakerów „Webworm” eksperymentuje z dostosowywaniem znanego złośliwego oprogramowania do nowych ataków. Webworm to klaster cyberszpiegowski działający od co najmniej 2017 roku i był powiązany z atakami na firmy IT, przemysł lotniczy, dostawców energii elektrycznej w Rosji, Gruzji i Mongolii.
Firma Symantec Broadcom Software, uzyskała wgląd w bieżącą działalność Webworm’a. Grupa ta opracowała dostosowane wersje trzech znanych już trojanów zdalnego dostępu (RAT), w tym Trochilus, Gh0st RAT i 9002 RAT. Co najmniej jeden ze wskaźników naruszenia bezpieczeństwa (IOC) zaobserwowanych przez firmę Symantec, został wykorzystany w ataku na dostawcę usług IT działającego w wielu krajach azjatyckich, podczas gdy pozostałe wydają się być na etapie przedwdrożeniowym lub testowym. Łańcuchy ataków wykorzystują złośliwe oprogramowanie typu dropper, które zawiera moduł ładujący przeznaczony do uruchamiania zmodyfikowanych wersji trojanów Trochilus, Gh0st i 9002 RAT. Większość zmian ma na celu uniknięcie wykrycia, początkowy dostęp uzyskuje się za pomocą socjotechniki z załączonymi dokumentami.
RAT używane dzisiaj przez Webworm zostały dawno zapomniane. Niestety narzędzia bezpieczeństwa nadal nie wykrywają ich łatwo, bowiem skutecznie używają metod unikania, zaciemniania i zapobiegania analizie. Używanie starszych RAT’ów, które są w obiegu i wdrażane przez różnych hakerów, pomaga Webworm ukrywać ich operacje i łączyć z działaniami innych, znacznie utrudniając przy tym, pracę analityków bezpieczeństwa.
Pierwszym złośliwym oprogramowaniem wykorzystywanym w nowych operacjach Webworm jest Trochilus RAT, który po raz pierwszy pojawił się w 2015 roku i jest dostępny bezpłatnie na GitHub’ie. Modyfikacja dodana do Trochilusa polega na tym, że może on załadować swoją konfigurację z pliku poprzez zaewidencjonowanie zestawu zakodowanych na sztywno katalogów. Drugim testowanym szczepem jest 9002 RAT, to narzędzie zdalnego dostępu, używane było przez grupy APT do kontrolowania komputera ofiary. Rozprzestrzeniany był za pośrednictwem exploitów dnia zerowego (np. podatności Internet Explorer), a także za pośrednictwem załączników do wiadomości e-mail. Łańcuch infekcji rozpoczynał się od otwarcia .LNK, który wykonywał polecenia Powershell. Webworm dodał bardziej solidne szyfrowanie do protokołu komunikacyjnego 9002 RAT, aby móc uniknąć wykrycia przez nowoczesne narzędzia do analizy ruchu.
Trzecią rodziną stosowaną w obserwowanych atakach jest Gh0st RAT, po raz pierwszy zauważony w 2008 r. Wiele grup APT wielokrotnie używało go w globalnych operacjach cyberszpiegowskich. Gh0st RAT używany był na platformach Windows w celu włamywania się do najbardziej wrażliwych sieci komputerowych.
Lista możliwości Gh0st RAT:
1. Przejmij pełną kontrolę nad zdalnym ekranem zainfekowanego bota.
2. Zapewnij rejestrowanie naciśnięć klawiszy w czasie rzeczywistym oraz offline.
3. Zapewnij transmisję na żywo z kamery internetowej, mikrofonu zainfekowanego hosta.
4. Pobierz zdalnie pliki binarne.
5. Przejmij kontrolę nad zdalnym wyłączaniem i ponownym uruchamianiem hosta.
6. Wyłącz zdalny wskaźnik i klawiaturę zainfekowanego komputera.
7. Wejdź do powłoki zainfekowanego hosta, z pełną kontrolą.
8. Podaj listę wszystkich aktywnych procesów.
Gh0st RAT zawiera kilka warstw zaciemniania, omijania UAC, rozpakowywania shelkod’u i uruchamiania w pamięci, wiele z nich zostało zachowanych w wersji Webworm. Jedną z nowych funkcji Deed RAT, który zasadniczo jest zmodyfikowaną wersją Gh0st RAT, jest wszechstronny system komunikacji C2 obsługujący wiele protokołów, w tym TCP, TLS, HTTP, HTTPS, UDP i DNS.
W raporcie firmy Positive Technologies z maja 2022 roku zmodyfikowane szkodliwe oprogramowanie nazwano „ Deed RAT ”, przypisując je chińskiej grupie, którą nazwano „Space Pirates”, natomiast Symantec twierdzi, że najprawdopodobniej jest to ta sama grupa, co Webworm. Nawet jeśli Space Pirates i Webworm są odrębnymi grupami, chińskie grupy APT znane są z tego, że dzielą się złośliwym oprogramowaniem, aby ukryć ślady i obniżać koszty działalności.