Nova Bandook RAT varijanta se ponovo pojavljuje

AUTOR ·

Nova Bandook RAT varijanta se ponovo pojavljuje pokazuju analize sigurnosnih istraživača kompanije Fortinet FortiGuard Labs. Aktivnosti nove varijante su prvi put uočene u oktobru 2023. godine, gdje je uočeno da se zlonamjerni softver distribuira putem phishing napada kao PDF dokument koji upućuje na lozinkom zaštićenu .7z arhivu.

Bandook malware

Nova Bandook RAT varijanta se ponovo pojavljuje; Source: Bing Image Creator

BANDOOK RAT

Bandook zlonamjerni softver je trojanac za daljinski pristup koji dolazi sa širokim spektrom funkcija za daljinsko sticanje kontrole nad zaraženim sistemima i koji se bez prestanka razvija od kada je prvi put otkriven 2007. godine. Različiti zlonamjerni akteri su ga koristili u različitim kampanjama tokom godina.

Sada su sigurnosni istraživači kompanije Fortinet FortiGuard Labs identifikovali novu Bandook RAT varijantu koja se distribuira kao PDF datoteka prošlog oktobra. Ova PDF datoteka sadrži skraćeni URL koji preuzima .7z datoteku zaštićenu lozinkom. Nakon što žrtva raspakuje zlonamjerni softver sa lozinkom u PDF datoteci, zlonamjerni softver ubrizgava svoj aktivni dio u msinfo32.exe.

 

FUNKCIONISANJE

U nastavku će biti riječi o funkcionisanju nove Bandook RAT varijante, kao i o modifikovanim elementima nove varijante i C2 komunikaciji:

 

Ubrizgavač

Komponenta za ubrizgavanje dešifruje korisni teret i ubacuje ga u msinfo32.exe. Pre ubrizgavanja, kreira se ključ u registrima za kontrolu ponašanja korisnog tereta (eng. payload). Ime ključa je PID msinfo32.exe, a vrijednost sadrži kontrolni kôd za korisni teret. Jednom kada se izvrši sa bilo kojim argumentom, Bandook kreira ključ u registrima koji sadrži drugi kontrolni kôd koji omogućava njegovom korisnom teretu da uspostavi postojanost, a zatim ubrizgava korisni teret u novi proces msinfo32.exe.

Varijanta ovog zlonamjernog softvera iz 2021. godine zahtevala je četiri kontrolna kôd i kreirala četiri procesa explorer.exe koje ubrizgala u jednom izvršavanju. Nova varijanta koristi manje kontrolnog kôda i čini precizniju podjelu zadataka.

 

Korisni teret

Jednom ubrzigan, korisni teret pokreće nizove za nazive ključeva u registrima, indikatore, API i slično. Nakon toga počinje se koristiti PID ubačenog msinfo32.exe procesa da se pronađe ključ u registrima, a zatim se dekodira i analizira vrijednost ključa da bi se izvršio zadatak određen kontrolnim kôdom. Kontrolni kôdovi igraju istu ulogu kao i prethodne varijante, ali se umjesto brojeva koriste nizovi.

U novoj varijanti iz oktobra 2023. godine postoje dva nova kôda, ali njen mehanizam za ubrizgavanje ne kreira ključeve u registrima za njih. Jedan kôd traži od korisnog opterećenja da učita fcd.dll, koji se preuzima od strane drugog ubačenog procesa i poziva fcd.dll funkciju Init. Drugi kôd uspostavlja postojanost i izvršava Bandook kopiju.

Novije varijante nemaju ove neiskorištene kôdove. Od preostala dva kôda, ACG je je glavni kontrolni kôd za napad, dok GUM uspostavlja mehanizam postojanosti.

 

ACG kontrolni kôd

Kada se radi o ACG kôdu, korisni teret može da preuzima datoteke za druge module, uključujući fcd.dll, pcd.dll, izvršne datoteke i slično. Ovo je opcionalna funkcija zasnovana na indikatorima postavljenim kada se korisni teret inicijalizuje. Datoteke se takođe mogu preuzeti sa C2 servera kada je to potrebno. Ako se fcd.dll preuzme, Bandook poziva njegove funkcije i prosljeđuje imena ključeva u registrima kao argumente. Slično tome, mnogi ključevi u registrima čuvaju informacije koje se koriste u drugim radnjama.

Radnja se može razdvojiti na nekoliko dijelova i neophodno je da se sve povezane komande i ključevi u registrima spoje zajedno. Na primjer, C2 komunikacija može koristiti jednu komandu za pisanje ključa registratora i posebnu komandu za čitanje.

 

GUM kontrolni kôd

Kada je kontrolni kod GUM, Bandook ispušta kopiju u fasciklu SMC u direktorijumu appdata kao SMC.exe ili SMC.cpl i kreira ključ u registrima da bi automatski izvršio kopiju. Postoje tri registri ključa za SMC.exe i jedan registri ključ za SMC.cpl.

 

C2 komunikacija

Ako je C2 server dostupan, Bandook RAT prima komande sa servera. Sekvenca stringova u novijim varijantama 0001 dostiže do 0155, međutim neki se koriste samo pri slanju rezultata na server, a drugi postoje samo u drugim modulima.

Uprkos numeraciji, korisni teret podržava samo 139 radnji, a neke posebne komande se šalju serveru samo pod određenim uslovima. Nove komande koje su dodate u najnovijim varijantama se mogu grubo kategorisati kao manipulacija datotekama, manipulacija registrom, preuzimanje, krađa informacija, izvršavanje datoteka, pozivanje funkcija u dll datotekama sa C2, kontrola računara žrtve, ubijanje procesa i brisanje zlonamjernog softvera.

 

ZAKLJUČAK

Nova varijanta Bandook RAT trojanca za daljinski pristup se distribuira putem phishing napada sa ciljem da se infiltrira na uređaje sa Windows operativnim sistemom, naglašavajući kontinuiranu evoluciju zlonamjernog softvera i upornost zlonamjernih aktera da ostvare svoje ciljeve.

Veliki broj komandi za C2 komunikaciju se može naći u ovom zlonamjernom softveru, međutim zadaci koje obavlja njegov teret su manji od broja u komandi. To je zato što se više komandi koristi za jednu akciju, a neke komande pozivaju funkcije u drugim modulima, dok se neke koriste samo za odgovor serveru.

Mogućnosti manipulacije datotekama, manipulacije registrom, preuzimanje, krađa informacija, izvršavanje datoteka, pozivanje funkcija u dll datotekama sa C2, kontrola računara žrtve, ubijanje procesa i brisanje zlonamjernog softvera, jasno pokazuju opasnost koju predstavlja ovaj zlonamjerni softver.

 

ZAŠTITA

Kako bi se zaštitili, korisnici bi trebalo da primjenjuju sljedeće mjere:

  • Redovno ažuriraju operativni sistem i aplikacije, kako bi na vrijeme ispravili sigurnosne propuste koje zlonamjerni softver može da iskoristi.
  • Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti.
  • Da budu oprezni prilikom preuzimanja datoteka ili otvaranja priloga elektronske pošte, posebno iz nepoznatih izvora. Preporuka je obavezno skeniranje datoteka prije otvaranja.
  • Edukacija korisnika o phishing prijetnjama, naglašavajući rizike povezane sa otvaranjem priloga ili klikom na linkove u neželjenim elektronskoj pošti, kao i obuka za prepoznavanje taktika socijalnog inženjeringa koje koriste zlonamjerni akteri, omogućava korisnicima da izbjegnu da postanu žrtve obmanjujućih trikova koji vode ka izvršavanju zlonamjernih datoteka.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.