Hackeri teraz v obrázkoch skrývajú užitočné zaťaženie ObliqueRAT, aby sa vyhli detekcii

Kyberzločinci teraz nasadzujú trójske kone so vzdialeným prístupom (RAT) pod rúškom zdanlivo neškodných obrázkov hostených na infikovaných webových stránkach, čím opäť zdôrazňujú, ako aktéri hrozieb rýchlo menia taktiku, keď sú ich metódy útoku odhalené a verejne odhalené.

Nový výskum vydaný spoločnosťou Cisco Talos odhaľuje aktívnu malvérovú kampaň zameranú na organizácie v južnej Ázii, ktoré využívajú škodlivé dokumenty Microsoft Office sfalšované makrami na šírenie RAT, ktorý sa nazýva ObliqueRAT.

Prvýkrát zdokumentovaný vo februári 2020 bol malvér spojený s aktérom hrozby sledovaným ako Transparent Tribe (aka operácia C-Major, Mythic Leopard alebo APT36), veľmi plodná skupina údajne pakistanského pôvodu známa svojimi útokmi proti aktivistom za ľudské práva v krajiny, ako aj vojenského a vládneho personálu v Indii.

Zatiaľ čo sa modus operandi ObliqueRAT predtým prekrýval s ďalšou kampaňou Transparent Tribe v decembri 2019 na šírenie CrimsonRAT, nová vlna útokov sa líši v dvoch zásadných smeroch.

Okrem použitia úplne iného kódu makra na stiahnutie a nasadenie užitočného zaťaženia RAT operátori kampane tiež aktualizovali mechanizmus doručovania maskovaním malvéru do zdanlivo neškodných bitmapových obrázkov (súborov .BMP) v sieti protivníka. – kontrolované webové stránky.

“Ďalší prípad maldocu používa podobnú techniku ​​s tým rozdielom, že užitočné zaťaženie hostené na napadnutej webovej stránke je obrázok BMP obsahujúci súbor ZIP, ktorý obsahuje užitočné zaťaženie ObliqueRAT,” povedal Asheer Malhotra, výskumník spoločnosti Talos. “Škodlivé makrá sú zodpovedné za extrakciu ZIP a následne užitočného zaťaženia ObliqueRAT na koncovom bode.”

Bez ohľadu na reťazec infekcie je cieľom oklamať obete, aby otvorili e-maily obsahujúce dokumenty so zbraňami, ktoré po otvorení nasmerujú obete na užitočné zaťaženie ObliqueRAT (verzia 6.3.5 od novembra 2020) prostredníctvom škodlivých adries URL a v konečnom dôsledku exportovať citlivé údaje z cieľového systému.

Nie je to však len distribučný reťazec, ktorý sa dočkal modernizácie. Od jeho objavenia boli objavené najmenej štyri rôzne verzie ObliqueRAT, o ktorých má Talos podozrenie, že ide o zmeny pravdepodobne uskutočnené v reakcii na predchádzajúce zverejnenia, pričom zároveň rozšírila svoje možnosti kradnutia informácií, aby zahŕňala funkcie snímania obrazovky a nahrávania webovej kamery a vykonávania ľubovoľných príkazov.

Použitie steganografie na poskytovanie škodlivého obsahu nie je nové, rovnako ako zneužívanie napadnutých webových stránok na hosťovanie škodlivého softvéru.

V júni 2020 sa zistilo, že skupiny Magecart predtým skryli kód webového skimmeru v metadátach EXIF ​​pre obrázok favicon webovej stránky. Začiatkom tohto týždňa výskumníci zo spoločnosti Sophos odhalili kampaň Gootkit, ktorá využíva otravu optimalizáciou pre vyhľadávače (SEO) v nádeji, že používateľov infikuje malvérom tým, že ich nasmeruje na falošné stránky na legitímnych, no napadnutých weboch.

Ale táto technika používania otrávených dokumentov na nasmerovanie používateľov na malvér skrytý v obrazových súboroch predstavuje posun v možnostiach infekcie s cieľom prekĺznuť bez toho, aby priťahoval prílišnú kontrolu a zostal pod radarom.

“Táto nová kampaň je typickým príkladom toho, ako protivníci reagujú na zverejnenie útokov a rozvíjajú svoje infekčné reťazce, aby sa vyhli odhaleniu,” uviedli vedci. “Úpravy v užitočných zaťaženiach ObliqueRAT tiež zdôrazňujú použitie techník zahmlievania, ktoré možno použiť na obídenie tradičných detekčných mechanizmov založených na podpisoch.”