Palo Alto Networks 威脅情報團隊Unit 42近日宣布發現一款名為UBoatRAT的新型遠程訪問木馬程序(RAT),由其發起的攻擊已被確認。該木馬程序的最初版本于2017年5月被發現,其為一款簡單HTTP后門程序,利用香港公共博客服務和日本已經受到攻擊的web服務器一起構建C2服務器。此后,開發者很快為原有代碼加入更多功能并在六月份發布更新版本。從九月份最新變種所發動的攻擊來看,我們發現有以下特點:
目標對象為與韓國和電子游戲行業相關的個人和組織
借助Google Drive分發惡意軟件
從GitHub獲取C2服務器地址
使用微軟后臺智能傳輸服務(BITS)保持連貫性
目標
現在我們還不明確該木馬程序所針對的確切目標。但我們推測此次攻擊的目標是有關韓國或電子游戲行業的員工或組織,原因之一是基于攻擊者在傳遞惡意軟件時使用的文件名。另一個原因是UBoatRAT只有在被入侵計算機加入AD域時,才會在其上執行惡意操作。
傳輸和植入
我們注意到有多個UBoatRAT種變來自Google Drive云盤。據我們分析,并不是所有的鏈接都是有效的,但有些鏈接(包括下面的鏈接)是有效的。
從Google Drive云盤下載
壓縮文件托管于Google Drive云盤,其中包含了惡意可執行文件,這些文件偽裝成文件夾或Microsoft Excel電子表格。UBoatRAT的最新變種于7月下旬或者更晚的時間發布,偽裝成Microsoft Word文檔文件。
UBoatRAT偽裝樣本
在執行操作時,UBoatRAT會在被入侵的機器上檢查以下兩個條件:
檢測虛擬化軟件,如VMWare,VirtualBox或QEmu
從網絡參數獲取域名
如果木馬程序檢測到有虛擬環境存在或無法獲取域名,就會顯示以下虛假錯誤信息提示并退出。
虛假錯誤信息提示
否則,UBoatRAT將自己復制為C: programdata svchost.exe,創建C: programdata init.bat并執行bat文件。然后顯示以下信息提示并退出。
安裝后的虛假錯誤信息提示
BITS持續傳輸
UBoatRAT通過使用微軟后臺智能傳輸服務(BITS)實現持久性。 BITS是一種在機器間傳輸文件的服務。雖然使用該服務最著名的應用程序是Windows Update,但其他應用程序或用戶也可以使用該組件。
C2通信和后門指令
UboadRAT 背后的攻擊者將C2地址和目標端口隱藏在Github上的一個文件中,使用如下URL:https://raw.githubusercontent[.]com/r1ng/news/master/README.md
UBoatRAT使用自定義命令和控制協議與攻擊者的服務器進行通信。惡意軟件在有效載荷或指令的頂部放置字符串“488”(十六進制中的0x34,0x38,0x38),并使用簡單的XOR密碼,用靜態密鑰0x88加密整個緩沖區。這樣的話網絡負載總是以0xBC,0xB0,0xB0進行啟動。
“488”標記
借助靜態密鑰對”488″標記加密
UBoatRAT的開發
在撰寫本文時,我們已經確定了14個UBoatRAT樣本和一個與攻擊有關的下載程序。如上所述,大部分UBoatRAT樣本都從GitHub中獲取C2地址。只有五月份發布的那個樣本連接到香港的公共博客服務器,入侵日本合法web服務器并將其用作C2服務器。該樣本使用常規的HTTP協議進行通信。博客帳號“elsa_kr”注冊于2016年4月,目前沒有任何有意義的內容。
公共博客服務被用作C2服務器
總結
盡管最新版本的UBoatRAT已于9月份發布,但10月份在GitHub上我們已經看到了elsa999帳戶的多個更新。開發者似乎對此木馬威脅的開發和測試樂此不疲。我們將繼續監視此次行為是否有更新。
Palo Alto Networks的客戶可通過以下方式免遭此次威脅:
我們討論的所有樣本都已被WildFire和Threat Prevention認定為惡意軟件
Traps可阻止該惡意軟件的執行
AutoFocus用戶可對報告中提及的使用UBoatRAT的惡意軟件進行跟蹤
攻擊參數:
UBoatRAT SHA256
bf7c6e911f14a1f8679c9b0c2b183d74d5accd559e17297adcd173d76755e271 6bea49e4260f083ed6b73e100550ecd22300806071f4a6326e0544272a84526c cf832f32b8d27cf9911031910621c21bd3c20e71cc062716923304dacf4dadb7 7b32f401e2ad577e8398b2975ecb5c5ce68c5b07717b1e0d762f90a6fbd8add1 04873dbd63279228a0a4bb1184933b64adb880e874bd3d14078161d06e232c9b 42d8a84cd49ff3afacf3d549fbab1fa80d5eda0c8625938b6d32e18004b0edac 7be6eaa3f9eb288de5606d02bc79e6c8e7fc63935894cd793bc1fab08c7f86c7 460328fe57110fc01837d80c0519fb99ea4a35ea5b890785d1e88c91bea9ade5 55dd22448e9340d13b439272a177565ace9f5cf69586f8be0443b6f9c81aa6e7 9db387138a1fdfa04127a4841cf024192e41e47491388e133c00325122b3ea82 e52d866e5b77e885e36398249f242f8ff1a224ecce065892dc200c57595bb494 eb92456bf3ab86bd71d74942bb955062550fa10248d67faeeeedd9ff4785f41e 452b1675437ef943988c48932787e2e4decfe8e4c3bed728f490d55b3d496875 66c2baa370125448ddf3053d59085b3d6ab78659efee9f152b310e61d2e7edb5
SHA256下載程序
f4c659238ffab95e87894d2c556f887774dce2431e8cb87f881df4e4d26253a3
網絡訪問
https://raw.githubusercontent[.]com/r1ng/news/master/README.md
https://raw.githubusercontent[.]com/elsa999/uuu/master/README.md
http://www.ak(masked)[.]jp/images/
http://elsakrblog.blogspot[.]hk/2017/03/test.html
C2服務器
115.68.49[.]179:80
115.68.49[.]179:443
60.248.190[.]36:443
115.68.52[.]66:443
115.68.49[.]180:443
122.147.187[.]173:443
124.150.140[.]131:443
文件路徑
C:programdatainit.bat
C:programdatasvchost.exe
完整博文:
https://researchcenter.paloaltonetworks.com/2017/11/unit42-uboatrat-navigates-east-asia/
京公網安備 11010502049343號