BitRAT 正以银行敏感数据为诱饵进行传播
2023-1-14 18:41:1 Author: www.freebuf.com(查看原文) 阅读量:11 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

BitRAT 是一种臭名昭著的远控木马,自从 2021 年 2 月起在地下犯罪论坛中进行销售。其主要功能:

数据外带

执行 Payload

DDoS 攻击

键盘记录

摄像头与麦克风录音

凭据窃取

门罗币挖矿

运行进程

这些功能使得 20 美元的 BitRAT 成为了一种普遍存在的威胁。

数据泄露情况

在分析时,研究人员发现攻击者劫持了哥伦比亚合作银行的基础设施。攻击者利用来自银行的敏感数据作为诱饵,这说明攻击者已经获得了访问客户数据的权限。

调查时,研究人员发现攻击者使用 sqlmap 进行攻击的日志以及数据库转储文件。一共发现了 418777 行客户敏感数据被泄露,包括哥伦比亚国民身-份-证号、电子邮件地址、电话号码、客户姓名、付款记录、工资与地址等信息。根据监控,尚未发现此类数据被公开披露或者进行公开售卖。

image.png-750.1kBExcel 恶意文档

这些 Excel 表格充当了 BitRAT 的诱饵,这些文件都是 Administrator 用户编辑的。

样本分析

Excel 文件中包含高度混淆的宏代码,打开会释放 .inf 文件并执行。.inf 文件在宏代码中被切分成数百个数组,去混淆后重建原始内容写入临时文件,最后通过 advpack.dll 执行它。


image.png-132.5kB宏代码

.inf 文件中包含以十六进制编码的二阶段 DLL 文件,使用 certutil 解码后写入 %temp% 路径并由 rundll32 执行。最后,程序会删除临时文件。

image.png-239.1kB.inf 文件

该 DLL 文件使用各种反调试技术来进行检测规避,样本还会使用 WinHTTP 库从 GitHub 下载并执行最终的 BitRAT。DLL 文件使用 WinExec 执行 Payload 并退出。

image.png-1448.5kB下载 BitRAT

GitHub 的存储库是在 11 月 中旬创建的,该账户就是为了存放多个 Payload 而创建的。

image.png-605.3kB攻击者 GitHub

image.png-566.2kBGitHub 仓库

这些恶意样本都是经过 DeepSea 混淆的 BitRAT Loader。BitRAT 也被嵌入到 Loader 中,并且通过 SmartAssembly 进行混淆处理。

image.png-171.4kB混淆

文件还包含从两家不同公司窃取的资源,显得文件是合法文件。

image.png-664.4kB被劫持的文件

BitRAT 的配置如下所示:

"Host": "<C2 IP>","Port": "7722","Tor Port": "0","Install Dir": "0","Install File": "0","Communication Password": "c4ca4238a0b923820dcc509a6f75849b","Tor Process Name": "tor"

根据 VirusTotal 的数据,其结构为:

image.png-483.7kB基础设施结构

结论

攻击者一直在改进其传播和感染受害者的方法,也有越来越多滥用合法基础设施的情况出现。

参考来源

Qualys


文章来源: https://www.freebuf.com/articles/network/355228.html
如有侵权请联系:admin#unsafe.sh