اخیراً بدافزار مخرب جدیدی بهنام ObliqueRAT با استفاده از اسناد مخرب مایکروسافت آفیس سازمانهای دولتی در جنوب شرقی آسیا را هدف قرار داده است. محققان بر این باورند که کمپین گسترش ObliqueRAT با کمپین CrimsonRAT مرتبط است زیرا همان ناهنجاریها و کدهای مخرب را به اشتراک میگذارند.
در این کمپین، مهاجمان برای ارائه بدافزار ObliqueRAT از پیامهایی در قالب ایمیل فیشینگ با اسناد مخرب پیوست شده به فایلهای مایکروسافت آفیس استفاده میکنند.
گسترش ObliqueRAT
این بدافزار در قالب اسناد مخرب پیوست شده به فایلهای مایکروسافت آفیس با نام فایلهای
” Company-Terms.doc& DOT_JD_GM.doc ” به سیستم کاربر میرسد.
اگر کاربر این اسناد را باز کند، برای مشاهده محتویات سند به رمز عبور نیاز دارد. پس از وارد کردن رمز عبور صحیح، اسکریپت VB در اسناد مخرب فعال میشود.
اسکریپت مخرب سپس میانبری را در دایرکتوری Start-Up ایجاد میکند تا در صورت راهاندازی مجدد دستگاه، به ماندگاری دست یابد.
مرحله دوم payload، ObliqueRAT است که دارای ویژگیها و کارکردهای مختلفیست، RAT با سرور C&C ارتباط برقرار میکند و سپس دستورات را اجرا میکند.
این بدافزار فرآیندی به نام “Oblique” را که بر روی دستگاه آلوده اجرا میشود، بررسی میکند و اگر فرآیند درحال اجرا باشد، RAT اجرا را قطع میکند.
در مرحله بعد، اطلاعات سیستم را جمعآوری کرده و به سرور C&C ارسال میشود. همچنین، این بدافزار فهرستی از نامهای کاربری و نامهای رایانههایی که در لیستسیاه هستند، دارد.
اگر مقادیر لیستسیاه مطابقت یابد، اجرای آن بر روی رایانه آلوده متوقف میشود. این بررسی برای جلوگیری از اجرای بدافزار در سیستم تشخیص مبتنی بر Sandbox است.
ارتباط بین سرور C&C بصورت کدگذاری شدهاست که آدرسIP C&C و شماره پورت را مخفی میکند. همچنین کدهای مختلف فرمان را از سرور کنترل دریافت میکنند و عملکردهایی را انجام میدهند.
محققان Cisco Talos همچنین “نوع دیگری از حمله ObliqueRAT که از طریق یک dropper مخرب توزیع شدهاست را کشف کردهاند. dropper مخرب شامل دو فایل EXE تعبیه شده در آن است که در حین اجرا در دیسک دانلود میشوند تا تکثیر و فاعلیت مخرب را تکمیل کنند. ”
قابلیتهای ObliqueRAT:
• قادر به اجرای دستورات بر روی سیستم آلوده
• جمعآوری اطلاعات و دریافت فایلها از سیستم کاربر
• توانایی یک مهاجم برای افزودن فایلهای مختلف در سیستم قربانی
• قادر به غیرفعال کردن هر فرآیند در حال اجرا در سیستم قربانی
منبع :