Бесплатно Экспресс-аудит сайта:

25.06.2021

ReverseRat — новый инструмент в арсенале пакистанских кибершпионов

Компания Black Lotus Labs обнаружила новый троян для удаленного доступа ReverseRat, операторы которого нацелены на правительственные и энергетические организации в регионах Южной и Центральной Азии. Предположительно, операционная инфраструктура киберпреступной группировки находится в Пакистане.

Помимо ReverseRat, преступники параллельно устанавливают на системах RAT с открытым исходным кодом под названием AllaKore для заражения других систем и обеспечения персистентности.

На первом этапе кампании преступники, предположительно через электронные письма, рассылали жертвам URL-адреса, перенаправляющие на взломанные web-сайты. Как предположили эксперты Black Lotus Labs, злоумышленники решили использовать взломанные домены в той же стране, что и атакованная организация, с целью избежать обнаружения и замаскироваться среди стандартной активности просмотра web-страниц в сети.

При нажатии на ссылки загружался архив .zip, содержащий ярлык файла Microsoft (.lnk) и PDF-файл. При запуске ярлыка отображался PDF-файл, отвлекающий внимание пользователя. В то же время .lnk тайно извлекал и запускал HTA-файл (приложение HTML ) со взломанного web-сайта.

В поддельных PDF-документах упоминались организации и события, имеющие отношение к событиям в Индии весной 2021 года. Некоторые из документов или приманок имели более общую тематику и были связаны с вакцинацией от COVID-19, в то время как другие были связаны с тематикой энергетического сектора.

На следующем этапе атаки HTA-файл, содержащий JavaScript-код на базе GitHub-проекта под названием CactusTorch, запускал .NET-программу preBotHta.pdb, которую группировка использует с 2019 года. В варианте файла preBotHta от 2021 года были две примечательные особенности: он полностью выполнялся в памяти, а также мог изменять размещение ReverseRat, если на скомпрометированной системе был запущен определенный антивирусный продукт.

Затем preBotHta запускала ReverseRat, который через Windows Management Instrumentation (WMI) собирал информацию о MAC-адресе, физической памяти на устройстве, процессоре (максимальная тактовая частота, название, производитель) и пр. Вредонос шифровал данные с помощью RC4-ключа и отправлял их на C&C-сервер.

Второй файл HTA содержал закодированную команду для изменения раздела реестра, загрузчик и инструмент AllaKore, предоставляющий доступ к скомпрометированной сети.

Анализируя данную кампанию, специалисты выявили сходство с техниками, тактиками и процедурами, использованными в операции под названием Operation SideCopy, организованной пакистанской APT-группировкой Transparent Tribe в прошлом году. Связаны ли эти две группировки, эксперты не пояснили.