BitRAT 以共享敏感银行数据为诱饵
英文原文:https://blog.qualys.com/vulnerabilities-threat-research/2023/01/03/bitrat-now-sharing-sensitive-bank-data-as-a-lure介绍
2022 年 6 月,Qualys 威胁研究部门 (TRU) 撰写了一份关于 Redline 的深度报告,Redline 是一种现成的商业信息窃取程序,通过托管在 Discord 内容交付网络上的假冒破解软件进行传播。从那以后,我们继续跟踪类似的威胁,以确定它们不断发展的能力。在这篇文章中,将重点介绍对另一种现成的商业恶意软件 —— BitRAT。
BitRAT 是一种相当新的、臭名昭著的远程访问木马 (RAT),自 2021 年 2 月起在地下网络犯罪网络市场和论坛上销售,RAT 以其社交媒体存在和功能而闻名,例如:
[*]数据外泄
[*]绕过执行有效负载。
[*]分布式拒绝服务
[*]键盘记录
[*]网络摄像头和麦克风录音
[*]凭据盗窃
[*]门罗币挖矿
[*]进程、文件、软件等的运行任务
这些功能及其相对较低的 20 美元成本使 BitRAT 成为一种普遍存在的威胁。
Breach 细节
在调查针对 BitRAT 的多种诱饵时,我们发现攻击者劫持了一家哥伦比亚合作银行的基础设施。此外,诱饵本身包含来自银行的敏感数据,以使其看起来合法。这意味着攻击者已经获得了访问客户数据的权限。在深入挖掘基础设施的同时,我们发现了指向使用工具 sqlmap 来查找潜在 SQLi 故障的日志,以及实际的数据库转储。总的来说,有 4,18,777 行客户的敏感数据被泄露,包括 Cedula 号码 (哥伦比亚国民身份证)、电子邮件地址、电话号码、客户姓名、付款记录、工资、地址等详细信息。截至今天,还没有发现此信息在我们的任何暗网/明网监控列表中共享。
我们正在对已确定的受害者遵循标准的泄露披露准则,并将随着事情的进展用更多数据更新这篇文章。
表格中的数据在 Excel 恶意文档以及数据库转储的一部分中重复使用。
样本分析
excel 包含一个高度混淆的宏,它会释放一个 inf 负载并执行它。.inf 有效负载在宏中被分割成数百个数组。去混淆例程对这些数组执行算术运算以重建有效负载。然后宏将有效负载写入 temp 并通过 advpack.dll 执行它。
.inf 文件包含一个十六进制编码的第二阶段 dll 有效负载,它通过 certutil 解码,写入 %temp%\ 并由 rundll32 执行,然后删除临时文件。
该 dll 使用各种反调试技术来下载和执行最终的 BitRAT 负载,它使用 WinHTTP 库将 BitRAT 嵌入式有效负载从 GitHub 下载到 %temp% 目录。
然后 dll 使用 WinExec 启动 %temp% 负载并退出。GitHub 存储库是在 11 月中旬创建的,该帐户是一次性创建的,只是为了托管多个有效负载。
这些文件中的每一个都是通过 DeepSea 混淆的 BitRAT 加载程序样本。BitRAT 示例嵌入到加载程序中,并通过 SmartAssembly 进行了混淆处理。加载程序解码二进制文件并反射加载它们。
它们还包含从两家不同公司劫持的资源,以显得合法。
BitRAT 启动并将加载程序重新定位到用户的启动以实现持久性。它具有以下配置:
"Host": "<C2 IP>",
"Port": "7722",
"Tor Port": "0",
"Install Dir": "0",
"Install File": "0",
"Communication Password": "c4ca4238a0b923820dcc509a6f75849b",
"Tor Process Name": "tor"
结论
RAT 一直在改进其传播和感染受害者的方法,还增加了合法基础设施的使用来托管他们的有效载荷,防御者需要对此负责。我们 Qualys 威胁研究部门将继续监控和记录此类威胁,以了解其不断发展的 TTP。
页:
[1]