Так злоумышленники пытаются найти самый мощный RAT, тестируя их против азиатских IT-компаний.
Согласно отчету компании Symantec, хакеры тестируют модифицированные версии старых вредоносов, используя их в атаках против азиатских поставщиков IT-услуг. Эксперты предполагают, что таким образом злоумышленники хотят достичь двух целей сразу – снизить расходы на разработку новых вредоносных программ.
Трояны удаленного доступа (RAT), используемые в последних атаках группировки WebWorm, давно забыты, а их исходный код гуляет в интернете много лет. Тем не менее, они все еще остаются актуальными, поскольку не все системы безопасности могут легко обнаружить их из-за особых механизмов защиты от анализа, обфускации кода и различных способов обхода антивирусного ПО.
А так как старые трояны еще и очень популярны среди хакеров всех мастей, WebWorm получает отличную маскировку, просто “смешиваясь с толпой”, что сильно усложняет задачу ИБ-аналитикам.
Первым старым RAT, использованным в последних кибератаках Webworm, стал Trochilus RAT, впервые появившийся в дикой природе в 2015 году, а сейчас
Первой старой вредоносной программой, использованной в новых операциях Webworm, стала Trochilus RAT, которая впервые появилась в дикой природе в 2015 году и сейчас находится в свободном доступе через GitHub. Модификацией этого трояна стала новая функция – вредонос теперь умеет загружать свою конфигурацию из файла, проверяя набор жестко закодированных каталогов.
Вторая модифицированный троян – 9002 RAT, который стоял на вооружении у государственных хакеров прошлого десятилетия, ценивших 9002 за крайне высокий уровень скрытности. Webworm добавили трояну более надежное шифрование в коммуникационный протокол, чтобы вредонос лучше избегал современные инструменты анализа трафика.
Третьим модифицированным вредоносом стал Gh0st RAT, впервые замеченный в 2008 году. В свое время этот троян был крайне популярен у кибершпионов по всему миру. На его основе была построена новая вредоносная программа – BH_A006.
Стоит отметить, что специалисты Positive Technologies обнаружили новый троян под названием Deed RAT, который напрямую связан с группировкой Space Pirates. У Deed RAT универсальная система связи с C&C-инфраструктурой, поддерживающая множество протоколов, включая TCP, TLS, HTTP, HTTPS, UDP и DNS.
Эксперты из Symantec утверждают, что Webworm и Space Pirates – одна и та же группировка. Однако, даже если это и не так, то специалистам давно известно, что китайские хакеры обмениваются вредоносным ПО, чтобы скрыть свой след и сократить расходы на разработку.
Источник: securitylab