ReverseRat — новый инструмент в арсенале пакистанских кибершпионов
24 июня 2021 года
Компания Black Lotus Labs обнаружила новый троян для удаленного доступа ReverseRat, операторы которого нацелены на правительственные и энергетические организации в регионах Южной и Центральной Азии. Предположительно, операционная инфраструктура киберпреступной группировки находится в Пакистане.
Помимо ReverseRat, преступники параллельно устанавливают на системах RAT с открытым исходным кодом под названием AllaKore для заражения других систем и обеспечения персистентности.
На первом этапе кампании преступники, предположительно через электронные письма, рассылали жертвам URL-адреса, перенаправляющие на взломанные web-сайты. Как предположили эксперты Black Lotus Labs, злоумышленники решили использовать взломанные домены в той же стране, что и атакованная организация, с целью избежать обнаружения и замаскироваться среди стандартной активности просмотра web-страниц в сети.
При нажатии на ссылки загружался архив.zip, содержащий ярлык файла Microsoft (.lnk) и PDF-файл. При запуске ярлыка отображался PDF-файл, отвлекающий внимание пользователя. В то же время.lnk тайно извлекал и запускал HTA-файл (приложение HTML ) со взломанного web-сайта.
В поддельных PDF-документах упоминались организации и события, имеющие отношение к событиям в Индии весной 2021 года. Некоторые из документов или приманок имели более общую тематику и были связаны с вакцинацией от COVID-19, в то время как другие были связаны с тематикой энергетического сектора.
На следующем этапе атаки HTA-файл, содержащий JavaScript-код на базе GitHub-проекта под названием CactusTorch, запускал.NET-программу preBotHta.pdb, которую группировка использует с 2019 года. В варианте файла preBotHta от 2021 года были две примечательные особенности: он полностью выполнялся в памяти, а также мог изменять размещение ReverseRat, если на скомпрометированной системе был запущен определенный антивирусный продукт.
Затем preBotHta запускала ReverseRat, который через Windows Management Instrumentation (WMI) собирал информацию о MAC-адресе, физической памяти на устройстве, процессоре (максимальная тактовая частота, название, производитель) и пр. Вредонос шифровал данные с помощью RC4-ключа и отправлял их на C&C-сервер.
Второй файл HTA содержал закодированную команду для изменения раздела реестра, загрузчик и инструмент AllaKore, предоставляющий доступ к скомпрометированной сети.
Анализируя данную кампанию, специалисты выявили сходство с техниками, тактиками и процедурами, использованными в операции под названием Operation SideCopy, организованной пакистанской APT-группировкой Transparent Tribe в прошлом году. Связаны ли эти две группировки, эксперты не пояснили.
Источники
правитьЭта статья содержит материалы из статьи «ReverseRat — новый инструмент в арсенале пакистанских кибершпионов», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.