پنهان‌نگاری؛ تکنیک جدید ObliqueRAT

بررسی محققان سیسکو نشان می‌دهد مهاجمان از تصاویر در ظاهر بی‌خطری که در سایت‌های هک‌شده تزریق شده‌اند در فرایند انتشار نسخ جدید ObliqueRAT بهره می‌گیرند.
به گزارش مرکز مدیریت راهبردی افتا به نقل از سیسکو٬ بدافزارObliqueRAT از نوع Remote Access Trojan – به اختصار RAT – است که نخستین نسخه از آن یک سال قبل شناسایی شد.
نسخ ابتدایی آن دارای عملکرد معمول بدافزارهای RAT نظیر سرقت داده‌ها و متوقف‌سازی برخی پروسه‌ها بودند. 
با گذشت زمان و استمرار در ظهور نسخ جدید، این بدافزار مجهز به قابلیت‌های فنی پیشرفته و توانایی انتشار با روش‌های مختلف شد.

یکی از روش‌های انتشار ObliqueRAT ایمیل‌های فیشینگ ناقل اسناد Office است. در اسناد مذکور ماکرویی (Macros) مخرب تزریق شده که اجرای آن موجب آلوده شدن دستگاه به ObliqueRAT می‌شود.
در حالی که تا مدتی پیش ObliqueRAT مستقیماً توسط ماکرو توزیع می‌شد در نسخ اخیر این بدافزار از سایت‌های هک‌شده به‌عنوان واسط (احتمالاً برای عبور از سد کنترل‌ها و پویشگرهای امنیتی ایمیل) استفاده می‌شود. 
همچنین در نسخ جدید از تکنیک پنهان‌نگاری (Steganography) بهره گرفته شده است. بدین‌صورت که کد مخرب ObliqueRAT در فایل‌های تصویری BMP و در میان داده‌های معتبر آن‌ها درج شده است.

 مهاجمان فایل BMP آلوده را در سایت‌های هک شده تزریق می‌کنند تا ماکرو در زمان اجرا، آن را دریافت و پس از استخراج کد مخرب، ObliqueRAT را بر روی دستگاه قربانی فراخوانی کند.
ObliqueRAT قادر به شناسایی بسترهای موسوم به Sandbox است؛ بسترهایی که عمدتاً توسط محققان بدافزار به‌منظور مهندسی معکوس و تحلیل کد مورد استفاده قرار می‌گیرند. از جمله آن‌که در صورت فعال بودن هر یک از پروسه‌های زیر، اجرای خود را متوقف می‌کند:

ida۶۴ProcessHackerpython
Procmonprocexpvmacthlp
ollydbgAutorunsVGAuthService
LordPEpestudiovmtoolsd
FiddlerWiresharkTPAutoConnSvc
CFF Explorerdumpcapftnlsv
sampleTSVNCacheftscanmgrhv
vboxservicednSpyvmwsprrdpwks
vboxtrayConEmuusbarbitrator
ida۶۴۰۱۰Editorhorizon_client_service
 

در نسخ اخیر ObliqueRAT، بدافزار از اجرا بر روی سیستم‌هایی که نام دستگاه یا نام کاربری آن‌ها یکی از موارد زیر است نیز خودداری می‌کند:

virlabroslyn۱۵pb
beginervince۷man۲
beginnerteststella
markossamplef۴kh۹od
semimsmcafeewillcarter
gregoryvmscanbiluta
tom-pcmallabehwalker
will carterabbyhong lee
angelicaelvisjoe cage
eric johnswilbertjonathan
john cajoe smithkindsight
lebron jameshanspetermalware
rats-pcjohnsonpeter miller
robotplaceholepetermiller
serenatequilaphil
sofyniapaggy suerapit
strazkloner۰b۰t
bea-cholivercuckoo
stevensvm-pc
ieuseranalyze
 

ObliqueRAT می‌تواند با دریافت فرامین زیر از سرور فرماندهی (C۲) خود اقدام به اجرای اموری همچون تصویربرداری از طریق دوربین دستگاه و جاسوسی از فعالیت‌های کاربر و اطلاعات او کند:

COMMAND CODE = “WES” ; WEBCAM SCREENSHOT
COMMAND CODE = “SSS” ; DESKTOP SCREENSHOT
COMMAND CODE = “PIZZ” COMMAND DATA= &
COMMAND CODE = “PLIT” COMMAND DATA=


برخی منابع ارتباط ObliqueRAT با کارزارهای ناقل CrimsonRAT و گروه Transparent Tribe APT را که حمله به سفارت‌های هند در عربستان سعودی و قزاقستان را در کارنامه دارد محتمل دانسته‌اند. زیرساخت‌های سروهای C۲ آن نیز اشتراکاتی با کارزارهای RevengeRAT دارد.
مشروح گزارش سیسکو در خصوص ObliqueRAT در لینک زیر قابل دریافت و مطالعه است:

https://blog.talosintelligence.com/۲۰۲۱/۰۲/obliquerat-new-campaign.html


نشانه‌های آلودگی

(با تشکر از شرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.