Tariami Irano grėsmės veikėjai nutekina savo „CodeRAT“ kenkėjiškos programos kodą

Duomenų nutekinimas Virusai

Nuotolinės prieigos Trojos arklio (RAT) CodeRAT autorius nutekino savo kenkėjiškos programos šaltinio kodą GitHub.

Nuotolinės prieigos Trojos arklio (RAT) CodeRAT kūrėjų komanda nutekino savo kenkėjiškos programos šaltinio kodą „GitHub“.

„SafeBreach Labs“ tyrėjai neseniai išanalizavo naują tikslinę ataką, nukreiptą prieš persų kalbančius kodų kūrėjus. Užpuolikai naudojo „Microsoft Word“ dokumentą, kuriame buvo „Microsoft Dynamic Data Exchange“ (DDE) išnaudojimas kartu su anksčiau neatrastu nuotolinės prieigos trojos arkliu (RAT), kurį „SafeBreach Labs“ tyrėjai sekė kaip CodeRAT.

Įdomus šio tyrimo aspektas yra tas, kad tyrėjams pavyko nustatyti CodeRAT kūrėją, kuris, susidūręs su mumis, nusprendė nutekinti CodeRAT šaltinio kodą savo viešoje GitHub paskyroje.

CodeRat GitHub

CodeRAT leidžia savo operatoriams stebėti aukos veiklą socialiniuose tinkluose ir vietiniuose įrenginiuose palaikant 50 komandų, įskaitant ekrano kopijų darymą, iškarpinės kopijavimą, procesų nutraukimą, GPU naudojimo analizę, failų atsisiuntimą / įkėlimą / ištrynimą, vykdomų procesų stebėjimą ir programų vykdymą Kenkėjiškas kodas gali stebėti žiniatinklio paštą, „Microsoft Office“ dokumentus, duomenų bazes, socialinius tinklus, žaidimus, integruotas kūrimo aplinkas (IDE), skirtas „Windows“ ir „Android“, ir pornografinės svetainės. CodeRAT taip pat stebi daugybę naršyklės langų pavadinimų, iš kurių du yra unikalūs Irano aukoms, populiarią Irano elektroninės prekybos svetainę ir žiniatinklio pasiuntinį persų kalba.

Ekspertai mano, kad kenkėjiška programa yra Stebėjimo programinė įranga, kurią naudoja Irano vyriausybė.

„Tokio tipo stebėjimas, ypač pornografinių svetainių, anoniminių naršymo įrankių naudojimas ir veikla socialiniuose tinkluose, leidžia manyti, kad CodeRAT yra žvalgybos įrankis, kurį naudoja grėsmės veikėjas, susietas su vyriausybe. Tai paprastai matoma per irano islamo režimo vykdomus išpuolius, siekiant stebėti neteisėtą / amoralią savo piliečių veiklą“, – rašoma „SafeBreach Labs“ paskelbtoje analizėje.

CodeRAT naudojo universalius ryšio metodus, jis palaiko ryšį per Telegram grupes naudojant roboto API arba per USB atmintinę. Kenkėjiškas kodas taip pat gali veikti slaptu režimu, vengdamas siųsti atgal duomenis. Kenkėjiška programa nenaudoja tam skirto C2 serverio, o įkelia duomenis į anoniminę viešą svetainę.

CodeRAT riboja savo naudojimą iki 30 dienų, kad būtų išvengta aptikimo, jis taip pat naudos HTTP Derintuvo svetainę kaip tarpinį serverį, kad galėtų bendrauti su savo C2 Telegram grupe. 

Tyrėjai taip pat rado įrodymų, kad užpuolikų vardai gali būti Mohsenas ir Siavahshas, kurie yra įprasti persų vardai.

„Dalindamiesi informacija konkrečiai apie mūsų „CodeRAT“ atradimą, mūsų tikslas yra didinti informuotumą apie šį naują, nepripažintą kenkėjiškų programų tipą, kuris naudoja palyginti naują anoniminio įkėlimo svetainės kaip C2 serverio naudojimo techniką. Taip pat tikimės perspėti kūrėjų bendruomenę apie tai, kad jie yra ypač pažeidžiami, kad būtų nukreipti į šią ataką“, – apibendrina analizė.

Ataskaitoje taip pat pateikiami kompromiso rodikliai (TOK) ir YARA taisyklės.

Facebook Comments