Кибератаки, стоящие за кампаниями ObliqueRAT, маскируют троян в безобидных файлах изображений на взломанных сайтах.Троян удаленного доступа ObliqueRAT (RAT), обнаруженный в начале года, восходит к атакам на организации в Южной Азии.
При первом обнаружении вредоносная программа была описана как «простая» RAT с типичными базовыми функциями трояна, ориентированными на кражу данных, такими как способность извлекать файлы, подключаться к серверу управления и контроля (C2), возможность завершить существующие процессы, проверять наличие любых признаков, указывающих на то, что его цель находится в изолированной программной среде. Это обычная практика, которую инженеры по кибербезопасности применяют в образцах вредоносных программ обратного проектирования.
С момента открытия ObliqueRAT был модернизирован новыми техническими возможностями и использует более широкий набор исходных векторов заражения. Cisco Talos сообщил, что новая кампания, разработанная для развертывания RAT в том же регионе, изменила способ обслуживания вредоносного ПО в системах-жертвах.
Раньше документы Microsoft Office отправлялись через фишинговые сообщения электронной почты, адресовывавшие на цель, содержащую вредоносные макросы, что приводило к прямому развертыванию ObliqueRAT. Однако теперь вредоносные программы вместо этого направляют жертв на вредоносные сайты – вероятно, в попытке обойти меры безопасности электронной почты.
Применяется метод, известный как стеганография. Она используется для сокрытия кода, файлов, изображений и видеоконтента внутри другого содержимого файловых форматов, и в этом случае исследователи обнаружили файлы .BMP с вредоносными данными ObliqueRAT.
Эти файлы .BMP размещены на сайтах, которые были взломаны злоумышленниками. Хотя файлы действительно содержат допустимые данные изображения, исполняемые байты также скрыты в данных RGB и при просмотре запускают загрузку файла .ZIP, содержащего ObliqueRAT.
По словам исследователей, вредоносные макросы, содержащиеся в maldoc, извлекают файл архива и развертывают троян в целевой системе конечных точек.
В общей сложности недавно были обнаружены четыре новые версии вредоносного ПО, по всей видимости, разработанные в апреле-ноябре. Улучшения включают проверку конечных точек в заблокированном списке и имен компьютеров, включение возможности извлечения файлов из внешнего хранилища. Новая командная строка, еще не назначенная, указывает на то, что в будущем произойдут дополнительные обновления.
ObliqueRAT был связан с кампаниями по распространению CrimsonRAT. Существуют потенциальные связи с Transparent Tribe (.PDF), Спонсируемая государством группа Proofpoint утверждает, что ранее атаковала посольства Индии в Саудовской Аравии и Казахстане. Судя по дублированию инфраструктуры C2, у ObliqueRAT могут быть связи с кампаниями RevengeRAT.