ObliqueRAT RAT جدیدی که از طریق اسناد office توزیع شده و سازمان‌های دولتی را هدف قرار می‌دهد

ObliqueRAT RAT جدیدی که از طریق اسناد office توزیع شده و سازمان‌های دولتی را هدف قرار می‌دهد

تاریخ ایجاد

اخیراً #‫بدافزار مخرب جدیدی به‌نام ObliqueRAT با استفاده از اسناد مخرب مایکروسافت آفیس سازمان‌های دولتی در جنوب شرقی آسیا را هدف قرار داده است. محققان بر این باورند که کمپین گسترش ObliqueRAT با کمپین CrimsonRAT مرتبط است زیرا همان ناهنجاری‌ها و کد‍‌ها‌ی مخرب را به اشتراک می‌گذارند.
در این کمپین، مهاجمان برای ارائه بدافزار ObliqueRAT از پیام‌هایی در قالب ایمیل فیشینگ با اسناد مخرب پیوست شده به فایل‌های مایکروسافت آفیس استفاده می‌کنند.
گسترش ObliqueRAT
این بدافزار در قالب اسناد مخرب پیوست شده به فایل‌های مایکروسافت آفیس با نام فایل‌های
" Company-Terms.doc& DOT_JD_GM.doc " به سیستم کاربر می‌رسد.
اگر کاربر این اسناد را باز کند، برای مشاهده‌ محتویات سند به رمز عبور نیاز دارد. پس از وارد کردن رمز عبور صحیح، اسکریپت VB در اسناد مخرب فعال می‌شود.
 

 ObliqueRAT RAT

اسکریپت مخرب سپس میانبری را در دایرکتوری Start-Up ایجاد می‌کند تا در صورت راه‌اندازی مجدد دستگاه، به ماندگاری دست یابد.
مرحله دوم payload، ObliqueRAT است که دارای ویژگی‌ها و کارکردهای مختلفی‌ست، RAT با سرور C&C ارتباط برقرار می‌کند و سپس دستورات را اجرا می‌کند.
این بدافزار فرآیندی به نام “Oblique” را که بر روی دستگاه آلوده اجرا می‌شود، بررسی می‌کند و اگر فرآیند درحال اجرا باشد، RAT اجرا را قطع می‌کند.
در مرحله بعد، اطلاعات سیستم را جمع‌آوری کرده و به سرور C&C ارسال می‌شود. همچنین، این بدافزار فهرستی از نام‌های کاربری و نام‌های رایانه‌هایی که در لیست‌سیاه هستند، دارد.
اگر مقادیر لیست‌سیاه مطابقت یابد، اجرای آن بر روی رایانه آلوده متوقف می‌شود. این بررسی برای جلوگیری از اجرای بدافزار در سیستم تشخیص مبتنی بر Sandbox است.
ارتباط بین سرور C&C بصورت کدگذاری شده‌است که آدرس‌IP C&C و شماره پورت را مخفی می‌کند. همچنین کدهای مختلف فرمان را از سرور کنترل دریافت می‌کنند و عملکردهایی را انجام می‌دهند.
محققان Cisco Talos همچنین "نوع دیگری از حمله ObliqueRAT که از طریق یک dropper مخرب توزیع شده‌است را کشف کرده‌اند. dropper مخرب شامل دو فایل EXE تعبیه شده در آن است که در حین اجرا در دیسک دانلود می‌شوند تا تکثیر و فاعلیت مخرب را تکمیل کنند. "

قابلیت‌های ObliqueRAT:
   • قادر به اجرای دستورات بر روی سیستم آلوده
   • جمع‌آوری اطلاعات و دریافت فایل‌ها از سیستم کاربر
   • توانایی یک مهاجم برای افزودن فایل‌های مختلف در سیستم قربانی
   • قادر به غیرفعال کردن هر فرآیند در حال اجرا در سیستم قربانی

برچسب‌ها