Хакеры массово внедряли троян ObliqueRAT в сети компаний Юго-Восточной Азии

Крупномасштабная кампания по внедрению троянов удаленного доступа (Remote Access Trojan, RAT — крыса — прим. ИА Красная Весна) ObliqueRAT в сети государственных организаций Юго-Восточной Азии обнаружена компанией в области сетевой безопасности Cisco Talos 20 февраля, сообщается на сайте организации.

Вредоносное программное обеспечение (ПО) было выявлено на основе анализа сетевого трафика и после изучено детально.

Как оказалось, схема распространения вредоносного ПО проста и стара. На адреса электронной почты государственных организаций были направлены письма, имеющие вид официальных, с документами «Company-Terms.doc», «DOTJDGM.doc» и тому подобными во вложении.

При открытии вложения с макросом, на машине получателя запускался процесс с возможностями: выполнения произвольных команд с удаленного компьютера на машине жертвы, отправки любых файлов, завершения любого процесса.

В ходе изучения RAT-программы было обнаружено, что вредоносное ПО позволяет себе запуститься только в одном экземпляре. Для это цели троян использует мьютекс на файловой системе. Через этот механизм запуск вредоносного ПО можно заблокировать до перезапуска операционной системы.

Кроме того, RAT-программа отслеживает по ряду признаков, таких как имя текущего пользователя «test», что запущена в данный момент на реальной машине жертвы, а не в специальной «песочнице». В последнем случае, вредоносное ПО старается скрыться и завершает свою работу.

Хакерская кампания началась, предположительно, в конце января и продолжается до сих пор.

Проанализировав исходный текст VBA-макросов в зараженных документах, в Cisco Talos пришли к выводу, что новое вредоносное ПО родственно CrimsonRAT, массовое распространение которого было проведено в декабре 2019 года. Специалисты считают, что за обеими компаниями стоит одна и та же хакерская группа.