TIKUS kustom serangan organisasi Korea Selatan

Computer Security News

Palo Alto jaringan melaporkan bahwa hacker telah menggunakan akses remote kustom Trojan (RAT) dalam serangan yang berkaitan dengan organisasi Korea Selatan dan industri video game.

Trojan kustom disebut UBoatRAT dan didistribusikan melalui link Google Drive. TIKUS memperoleh komando dan kontrol yang (C & C) alamat dari GitHub dan menggunakan Microsoft Windows latar belakang cerdas mentransfer Layanan (BITS) untuk menjaga ketekunan.

UBoatRAT pertama kali melihat di Mei tahun ini, ketika itu HTTP sederhana backdoor menggunakan layanan blog umum di Hong Kong dan dikompromikan web server di Jepang untuk C & C. Sejak saat itu, pencipta perangkat perusak telah menambahkan banyak fitur baru dan dirilis diperbarui beberapa versi Trojan. Serangan dianalisis yang terlihat pada September 2017.

Saat ini, target malware yang tidak jelas, namun, para ahli Palo Alto Jaringan berpikir bahwa mereka berhubungan dengan Korea atau industri permainan video karena judul-judul permainan berbahasa Korea, nama-nama perusahaan permainan yang berbasis di Korea, dan kata-kata yang digunakan dalam permainan video bisnis yang digunakan untuk pengiriman.

Menurut peneliti, UBoatRAT melakukan kegiatan berbahaya pada mesin dikompromikan hanya ketika bergabung dengan Active Directory Domain, berarti bahwa kebanyakan rumah pengguna sistem tidak akan terpengaruh karena mereka tidak bagian dari domain.

Biasanya, UBoatRAT disampaikan melalui arsip ZIP yang di-host di Google Drive dan berisi file eksekusi berbahaya yang menyamar sebagai folder atau Microsoft Excel menyebar lembar. Varian terbaru dari trojan masquerade adalah file dokumen Microsoft Word.

Setelah itu berjalan pada mesin dikompromikan, UBoatRAT cek untuk perangkat lunak virtualisasi VMWare VirtualBox, QEmu, dan mencoba untuk mendapatkan nama Domain dari parameter jaringan. Dalam hal ancaman menemukan lingkungan virtual atau gagal untuk mendapatkan nama domain, itu menunjukkan pesan kesalahan palsu dan berhenti proses.

Dalam kasus lain, trojan salinan sendiri untuk C:\programdata\svchost.exe, menciptakan dan mengeksekusi C:\programdata\init.bat, menampilkan pesan tertentu dan berhenti.

UBoatRAT menggunakan Microsoft Windows latar belakang cerdas mentransfer Layanan (BITS) untuk kegigihan dan itu mampu menjalankan bahkan setelah reboot sistem. C & C alamat dan pelabuhan tujuan yang tersembunyi dalam file host di GitHub, dan malware mengakses file menggunakan URL tertentu. C & C kustom protokol yang digunakan untuk komunikasi dengan server si hacker itu.

Di antara perintah backdoor yang diterima dari hacker: hidup (cek jika tikus hidup), online (membuat tikus online), upfile (upload file ke mesin dikompromikan), downfile (download file dari mesin dikompromikan), exec (menjalankan proses dengan UAC Bypass menggunakan Eventvwr.exe dan registri pembajakan), mulai (dimulai CMD shell), curl (download file dari URL tertentu), pslist (daftar proses berjalan) dan pskill (berakhir proses tertentu).

Para ahli Palo Alto telah mengidentifikasi empat belas sampel UBoatRAT, serta satu downloader yang terkait dengan serangan-serangan maya. Para peneliti juga trojan yang terkait dengan akun GitHub ‘elsa999’ dan menyimpulkan bahwa penciptanya telah telah sering mengupdate repositori.


Leave a Reply

Your email address will not be published. Required fields are marked *