【安全资讯】BIOPASS RAT通过水坑攻击针对博彩公司

引言

研究人员发现了一种新的恶意软件，该软件针对中国的在线博彩公司发起水坑攻击。攻击者将恶意软件加载程序伪装成Adobe Flash Player或Microsoft Silverlight等知名应用程序的合法安装程序，以诱骗在线赌博公司的访问者下载。加载程序加载了 Cobalt Strike shellcode或新型的用Python编写的后门。研究人员经过分析发现，该后门是一种名为 BIOPASS RAT（远程访问木马）的新型恶意软件。

简况

BIOPASS恶意软件是一种用Python 编码的远程访问木马 (RAT)，具有恶意软件的基本功能，如文件系统评估、远程桌面访问、文件泄露和 shell 命令执行，还能够通过窃取 Web 浏览器和即时消息客户端数据来窃取受害者的私人信息。该后门的一个特别的功能是可以利用 Open Broadcaster Software (OBS) Studio 的RTMP（实时消息传递协议）流媒体功能来记录用户的屏幕并将其发送到攻击者的控制面板。

黑客在攻击中使用了一个水坑，这是一个受感染的网站，攻击者在其中注入他们的自定义JavaScript代码来交付恶意软件。在大多数情况下，攻击者将注入脚本放置在目标的在线支持聊天页面中。注入的脚本将尝试通过向端口列表发送 HTTP 请求来扫描受影响的主机。如果它从这些端口收到任何带有预期字符串的响应，脚本将停止。此步骤可能旨在避免攻击已受感染的受害者。 BIOPASS RAT 能够在从硬编码列表中选择的端口上打开在本地主机上运行的 HTTP 服务。此功能允许脚本识别受害者是否已被其恶意软件感染。BIOPASS RAT 的登录面板如下：

如果脚本确认访问者尚未被感染，它将用攻击者自己的内容替换原始页面内容。新页面将显示一条错误消息，并附有说明，提示网站访问者下载 Flash 安装程序或 Silverlight 安装程序，这两种安装程序都是恶意加载程序，且Adobe Flash 和 Microsoft Silverlight 都已被各自的供应商弃用。BIOPASS RAT的感染流程如下：

总结

目前尚不清楚恶意软件的操作者，但研究人员发现了BIOPASS RAT 和 Winnti Group 之间的几点联系，如BIOPASS RAT加载程序的许多二进制文件都使用两个有效证书进行签名，且这些证书很可能是从韩国和台湾的游戏工作室窃取的。而Winnti集团曾使用窃取的证书从游戏工作室签署恶意软件。 在检查被盗证书时，研究人员发现了Derusbi恶意软件样本的服务器端变种，该变种被许多APT组织使用。但 BIOPASS RAT与Winnti组织攻击的目标不同，因此研究人员并不能轻易将两者关联。