日前有网络保安公司发现一款远端存取木马程式 UBoatRAT。该恶意程式透过 Google 云端硬盘散播,并将 C2 位址藏于 GitHub,以及利用微软后台智慧传输服务 (Windows BITS)以持续执行。他们又指,恶意程式的最初版本于 2017 年5 月被发现,是个简单的 HTTP 后门程式,并透过位于香港的公开网志服务和一个被入侵的日本网络服务器发出指令和控制。
Palo Alto Networks 表示,他们发现一种名为 UBoatRAT 的新型远端存取木马程式(RAT)的攻击,最初版本于 2017 年 5 月被发现,是个简单的 HTTP 后门程式,并透过位于香港的公开网志服务和一个被入侵的日本网络服务器,发出指令和控制,而研发者迅速做出更新,并在 6 月发出更新版本。
Palo Alto Networks 续指,他们未肯定恶意程式的确实目标,但他们发现,与恶意程式相关的档案名称含有韩语游戏的标题、韩国公司名字和一些在电子游戏行业中使用的词语,而 UBoatRat 只会在电脑加入某个 Active Directory 的域名才会执行恶意行为,故推断程式或针对与韩国电子游戏产业有关的人员或组织。
多个 UboatRAT 的变种均化身 zip 档案并以 Google Drive 传播,解压缩后会发现伪装为 Excel 档或 Word 档的恶意程式。UBoatRAT 执行时会检查电脑是否处于 VM 环境并获取域名,通过检查后就会安装在电脑中,否则就会显示“这不是正确的 Win32 应用程序”的错误讯息。安装完成后,程式会显示虚假的错误讯息,讹称档案由新版本的 Word建立,无法开启。
值得一提,UBoatRAT 利用了 Windows 的后台智慧传输服务 (Windows BITS),使电脑即使重新启动后也能持续在幕后执行。
- UBoatRAT Navigates East Asia
(本文由 Unwire Pro 授权转载;首图来源:shutterstock)
