تروجان CannibalRAT در حملات هدفمند

خلاصه: محققان امنیتی سیسکوتالوس یک تروجان دسترسی از راه دور جدید به نام CannibalRAT را که در حملات فوق هدفمند استفاده شده‌است، کشف کرده‌اند. این تروجان که به‌زبان پایتون نوشته شده است از تکنیک‌های مبهم‌سازی برای جلوگیری از تشخیص استفاده می‌کند. به‌گزارش سیسکوتالوس کمپین هدفمندی که از این تروجان استفاده می‌کند، کاربران کروم را مورد هدف قرار می‌دهد.

 

محققان امنیتی سیسکوتالوس یک تروجان دسترسی از راه دور جدید به نام CannibalRAT را که به زبان پایتون نوشته شده است، کشف کرده‌اند.

این تروجان در حملات فوق هدفمند استفاده شده است. محققان می‌گویند که این تروجان پیچیده نیست و در آن نشانه‌هایی از کد پروژه‌های متن‌باز دیگر یافته شده است.

محققان درگیری دو نسخه از این تروجان (نسخه ۳ و ۴) را در حملات هدفمند مشاهده کرده‌اند. این دو نمونه به زبان پایتون نوشته شده‌اند و با استفاده از ابزار py2exe به فایل اجرایی تبدیل شده‌اند. به‌گفته‌ی محققان در نسخه‌ی ۴ بعضی از ویژگی‌ها از کد اصلی حذف شده‌ و در عوض نویسندگان بدافزار سعی کرده‌اند تا تکنیک‌های مبهم‌سازی‌ای را به‌منظور جلوگیری از تشخیص به‌آن اضافه کنند.

در نسخه‌ی ۴ تابعی اضافه شده است که رشته‌های تصادفی‌ای را در حافظه تولید می‌کند و تلاش می‌کند تا تحلیل رشته‌های حافظه را سخت‌تر کند.

اولین نسخه از این بدافزار در هشتم ماه ژانویه کشف شد، بااین حال سیسکوتالوس افزایش قابل توجهی را در فعالیت‌های CannibalRAT بعد از نسخه‌ی ۴ مشاهده کرده است.

هر دو نسخه از شماتیک رمزنگاری base16 برای مبهم‌سازی hostname سرور کنترل و فرمان (C&C) و تبادل داده‌ها با سرور استفاده می‌کنند. این دو نسخه با استفاده از کلید رجیستری "CurrentVersion\Run" با نام سرویس "Java_Update" ماندگار می‌شوند.

پس از اجرا، نسخه‌ی ۴ CannibalRAT یک فایل PDF را با کد HTML جاسازی شده که یک تصویر میزبانی شده در imgur.com را بارگیری کرده و کروم را برای بازکردن  PDF راه‌اندازی می‌کند، ایجاد می‌کند.

هر دو نسخه سرورهای کنترل و فرمان یکسانی را به‌اشتراک می‌گذارند، اما درحالی که نسخه‌ی ۳ از درخواست‌های وب استاندارد استفاده می‌کنند، نسخه‌ی جدید‌تر از یک API مبتنی بر REST استفاده می‌کند.

CannibalRAT از یک ماژول دزدیدن مجوزها از Radium-Keyloger که کد منبع آن در گیت‌هاب منتشر شده است استفاده می‌کند.

تیم تالوس اطلاعاتی را از یک کمپین که از CannibalRAT برای هدف قرار دادن INESAP (یک مدرسه‌ی برزیلی) استفاد می‌کند را منتشر کرده است.

این کمپین بسیار هدفمند است و تنها کاربران کروم را مورد هدف قرار می‌دهد.