DecoyMini 技术交流社区

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 3601|回复: 0

[样本分析] BitRAT 以共享敏感银行数据为诱饵

[复制链接]

188

主题

35

回帖

30

荣誉

Rank: 9Rank: 9Rank: 9

UID
2
积分
354
精华
1
沃币
2 枚
注册时间
2021-6-24

论坛管理

发表于 2023-1-6 16:10:31 | 显示全部楼层 |阅读模式

介绍


2022 年 6 月,Qualys 威胁研究部门 (TRU) 撰写了一份关于 Redline 的深度报告,Redline 是一种现成的商业信息窃取程序,通过托管在 Discord 内容交付网络上的假冒破解软件进行传播。从那以后,我们继续跟踪类似的威胁,以确定它们不断发展的能力。在这篇文章中,将重点介绍对另一种现成的商业恶意软件 —— BitRAT。

BitRAT 是一种相当新的、臭名昭著的远程访问木马 (RAT),自 2021 年 2 月起在地下网络犯罪网络市场和论坛上销售,RAT 以其社交媒体存在和功能而闻名,例如:

  • 数据外泄
  • 绕过执行有效负载。
  • 分布式拒绝服务
  • 键盘记录
  • 网络摄像头和麦克风录音
  • 凭据盗窃
  • 门罗币挖矿
  • 进程、文件、软件等的运行任务

这些功能及其相对较低的 20 美元成本使 BitRAT 成为一种普遍存在的威胁。

Breach 细节


在调查针对 BitRAT 的多种诱饵时,我们发现攻击者劫持了一家哥伦比亚合作银行的基础设施。此外,诱饵本身包含来自银行的敏感数据,以使其看起来合法。这意味着攻击者已经获得了访问客户数据的权限。在深入挖掘基础设施的同时,我们发现了指向使用工具 sqlmap 来查找潜在 SQLi 故障的日志,以及实际的数据库转储。总的来说,有 4,18,777 行客户的敏感数据被泄露,包括 Cedula 号码 (哥伦比亚国民身份证)、电子邮件地址、电话号码、客户姓名、付款记录、工资、地址等详细信息。截至今天,还没有发现此信息在我们的任何暗网/明网监控列表中共享。

我们正在对已确定的受害者遵循标准的泄露披露准则,并将随着事情的进展用更多数据更新这篇文章。

表格中的数据在 Excel 恶意文档以及数据库转储的一部分中重复使用。



样本分析


excel 包含一个高度混淆的宏,它会释放一个 inf 负载并执行它。.inf 有效负载在宏中被分割成数百个数组。去混淆例程对这些数组执行算术运算以重建有效负载。然后宏将有效负载写入 temp 并通过 advpack.dll 执行它。



.inf 文件包含一个十六进制编码的第二阶段 dll 有效负载,它通过 certutil 解码,写入 %temp%\ 并由 rundll32 执行,然后删除临时文件。



该 dll 使用各种反调试技术来下载和执行最终的 BitRAT 负载,它使用 WinHTTP 库将 BitRAT 嵌入式有效负载从 GitHub 下载到 %temp% 目录。



然后 dll 使用 WinExec 启动 %temp% 负载并退出。GitHub 存储库是在 11 月中旬创建的,该帐户是一次性创建的,只是为了托管多个有效负载。





这些文件中的每一个都是通过 DeepSea 混淆的 BitRAT 加载程序样本。BitRAT 示例嵌入到加载程序中,并通过 SmartAssembly 进行了混淆处理。加载程序解码二进制文件并反射加载它们。



它们还包含从两家不同公司劫持的资源,以显得合法。



BitRAT 启动并将加载程序重新定位到用户的启动以实现持久性。它具有以下配置:

  1. "Host": "<C2 IP>",
  2. "Port": "7722",
  3. "Tor Port": "0",
  4. "Install Dir": "0",
  5. "Install File": "0",
  6. "Communication Password": "c4ca4238a0b923820dcc509a6f75849b",
  7. "Tor Process Name": "tor"
复制代码



结论


RAT 一直在改进其传播和感染受害者的方法,还增加了合法基础设施的使用来托管他们的有效载荷,防御者需要对此负责。我们 Qualys 威胁研究部门将继续监控和记录此类威胁,以了解其不断发展的 TTP。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|小黑屋|DecoyMini 技术交流社区 (吉沃科技) ( 京ICP备2021005070号 )

GMT+8, 2024-12-22 15:03 , Processed in 0.075935 second(s), 25 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表