Adat TIKUS menyerang Korea Selatan organisasi

Computer Security News

Rangkaian Palo Alto melaporkan bahawa penggodam telah menggunakan capaian jauh yang adat Trojan (TIKUS) dalam serangan yang berkaitan dengan organisasi Korea Selatan dan industri permainan video.

Trojan adat itu dipanggil UBoatRAT dan Ia diedarkan melalui pautan Google Drive. TIKUS mendapat arahan dan kawalan (C & C) alamat daripada GitHub dan menggunakan Microsoft Windows latar belakang pintar memindahkan Perkhidmatan (bit) untuk mengekalkan pengekalan.

UBoatRAT adalah mula-mula perasan pada bulan Mei, tahun ini, adalah HTTP yang mudah tersebut menggunakan perkhidmatan blog awam di Hong Kong dan pelayan web yang terjejas di Jepun untuk C & C. Sejak masa itu, pencipta perisian berniat jahat telah menambah banyak ciri-ciri baru dan dilepaskan beberapa versi trojan yang dikemaskini. Serangan dianalisis telah dikesan pada September tahun 2017.

Pada masa ini, sasaran perisian berniat jahat yang tidak jelas, Walau bagaimanapun, pakar-pakar rangkaian Palo Alto berfikir bahawa ia berkait dengan Korea atau industri permainan video kerana tajuk permainan bahasa Korea, nama Korea berasaskan permainan Syarikat, dan perkataan yang digunakan dalam permainan video perniagaan yang telah digunakan untuk penghantaran.

Menurut para penyelidik, UBoatRAT melakukan aktiviti jahat dalam mesin yang terjejas sahaja apabila menyertai Domain Direktori Aktif, bermakna bahawa kebanyakan rumah pengguna sistem tidak akan terjejas kerana mereka bukan sebahagian daripada domain.

Biasanya, UBoatRAT dihantar melalui arkib ZIP dihoskan pada Google memandu dan mengandungi fail boleh laku berniat jahat menyamar sebagai folder atau dalam Microsoft Excel lembaran merebak. Dalam varian Tempahan yang menyamar trojan adalah fail dokumen Microsoft Word.

Selepas itu berjalan di mesin yang terjejas, UBoatRAT cek untuk virtualisasi perisian VMWare VirtualBox, QEmu, dan cuba untuk mendapatkan Nama Domain dari parameter rangkaian. Dalam kes ancaman mendapati persekitaran maya atau gagal untuk mendapatkan nama domain, ia menunjukkan mesej ralat yang palsu dan berhenti proses.

Dalam kes lain, trojan yang menyalin sendiri ke C:\programdata\svchost.exe, mewujudkan dan melaksanakan C:\programdata\init.bat, memaparkan mesej tertentu dan berhenti.

UBoatRAT kegunaan Microsoft Windows latar belakang pintar memindahkan Perkhidmatan (bit) untuk pengekalan dan ianya adalah mampu mengendali walaupun selepas boot semula sistem. C & C alamat dan pelabuhan destinasi yang tersembunyi di dalam fail yang dihoskan di GitHub, dan perisian berniat jahat yang mengakses fail yang menggunakan URL tertentu. C & C adat protokol bekerja untuk berkomunikasi dengan pelayan penggodam tersebut.

Antara perintah tersebut diterima daripada penggodam ialah: hidup (pemeriksaan jika TIKUS hidup-hidup) dalam talian (terus TIKUS dalam talian), upfile (upload fail ke mesin terjejas), downfile (muat turun fail dari mesin terjejas), exec (melaksanakan proses dengan pintasan UAC menggunakan Eventvwr.exe dan rampasan Registry), mula (bermula CMD shell), curl (muat turun fail dari URL yang ditentukan), pslist (Senarai proses yang berjalan) dan pskill (menamatkan proses tertentu).

Pakar-pakar Palo Alto telah mengenal pasti sampel empat belas UBoatRAT, serta satu downloader yang dikaitkan dengan serangan siber. Penyelidik juga telah dikaitkan trojan itu dengan GitHub akaun ‘elsa999’ dan membuat kesimpulan bahawa pencipta yang telah telah kerap mengemaskini pracetak.


Leave a Reply

Your email address will not be published. Required fields are marked *