新型远程访问木马针对与韩国视频、游戏等相关行业展开网络攻击

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

网络安全公司 Palo Alto Networks 研究人员于近期发现一款新型远程访问木马 UBoatRAT,旨在瞄准与韩国视频、游戏行业相关的人员或组织展开针对性网络攻击活动。

      调查显示,UBoatRAT 最早于 2017 年 5 月由 Unit 42 安全专家发现。当时,黑客仅仅利用了一个简单的 HTTP 后门并通过香港与日本受损 Web 服务器分发该恶意软件、感染目标 C&C 服务器。随后,UBoatRAT 不断进化,其变种愈加复杂,现主要采用 Google Drive 作为恶意软件分发中心,并使用连接至 GitHub 存储库的 URL 作为重定向 C&C 服务器地址。此外,UBoatRAT 还利用 Microsoft Windows 后台智能传输服务(BITS)保持持久性能。

uboatrat

BITS 是一种用于机器之间传输文件的 Microsoft 服务,以 Windows Update 与第三方软件应用更新而广为人知,其最早可追溯至 2007 年。甚至今天,BITS 仍是黑客最受欢迎的一款服务,因为该服务的 Windows 组件包括使用应用程序获得主机防火墙信任,以便检索或上传任意文件。去年,研究人员发现黑客使用 BITS “通知” 功能传播恶意软件并保持系统持久性能。

      研究人员表示,黑客正使用 BITS 二进制 Bitsadmin.exe 文件作为命令行工具创建与监视 BITS 操作。而该恶意软件主要提供了一个选项 /SetNotifyCmdLine,在操作完成数据传输或出错时执行另一程序,以确保恶意代码持续运行(即使系统重启)。不过黑客主要还是通过托管在 Google Drive 上的可执行文件或 Zip 文件分发 UBoatRAT。如果该文件被目标用户打开后,其系统将会自动下载恶意软件并通过检查机器是否为 Active Directory 域的一部分来尝试确定目标系统是大型企业网络还是家用 PC 端口。此外,该恶意软件也被用于检测虚拟化软件(如 VMWare、VirtualBox、QEmu),一旦发现身处虚拟系统,该恶意软件会立即中断执行并试图从网络参数中获取域名,遇上不够理想的主机条件,则会生成各种伪造的 Windows 系统错误消息并退出。

uboat_files-300x142

      目前,虽然研究人员尚不清楚黑客确切目标,但由于其可执行文件内容与韩国游戏公司、名称,以及视频游戏行业中使用的一些词汇有关,因此他们推测其目标疑似韩国视频、游戏行业的相关人员或组织。近期,研究人员已确定 14 个 UBoatRAT 样本,以及一个与其攻击有关的下载设备。此外,尽管最新版本的 UBoatRAT 于 9 月发布,但其攻击者于 10 月仍在 GitHub 上使用 “elsa999” 账号持续更新,因此研究人员推测该恶意软件幕后黑手似乎正大力开发或测试威胁。

消息来源:Threatpost

转自 HackerNews.cc

标签: Google 安全 代码 防火墙 服务器 服务器地址 企业 网络 网络安全 网络安全公司 行业 用户 域名

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:Unix邮件传输代理软件“Exim”存两处关键漏洞

下一篇:Fortinet Security 361°安全峰会 与安全威胁的与时俱进