استفاده ObliqueRAT از تکنیک جدید پنهان‌نگاری

دانشمندان سیسکو می‌گویند که مهاجمان از تصاویر در ظاهر بی‌خطری که در سایت‌های هک‌شده تزریق شده‌اند در فرایند انتشار نسخ جدید ObliqueRAT بهره می‌گیرند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بررسی محققان سیسکو نشان می‌دهد مهاجمان از تصاویر در ظاهر بی‌خطری که در سایت‌های هک‌شده تزریق شده‌اند در فرایند انتشار نسخ جدید ObliqueRAT بهره می‌گیرند.

بدافزار ObliqueRAT از نوع Remote Access Trojan – به اختصار RAT – است که نخستین نسخه از آن یک سال قبل شناسایی شد.
نسخ ابتدایی آن دارای عملکرد معمول بدافزارهای RAT نظیر سرقت داده‌ها و متوقف‌سازی برخی فرایندها بودند. با گذشت زمان و استمرار در ظهور نسخ جدید، این بدافزار مجهز به قابلیت‌های فنی پیشرفته و توانایی انتشار با روش‌های مختلف شد.

یکی از روش‌های انتشار ObliqueRAT ایمیل‌های فیشینگ ناقل اسناد Office است. در اسناد مذکور ماکرویی (Macros) مخرب تزریق شده که اجرای آن موجب آلوده شدن دستگاه به ObliqueRAT می‌شود.

در حالی که تا مدتی پیش ObliqueRAT مستقیماً توسط ماکرو توزیع می‌شد در نسخ اخیر این بدافزار از سایت‌های هک‌شده به‌عنوان واسط (احتمالاً برای عبور از سد کنترل‌ها و پویشگرهای امنیتی ایمیل) استفاده می‌شود.
همچنین در نسخ جدید از تکنیک پنهان‌نگاری (Steganography) بهره گرفته شده است. بدین‌صورت که کد مخرب ObliqueRAT در فایل‌های تصویری BMP و در میان داده‌های معتبر آنها درج شده است.

مهاجمان فایل BMP آلوده را در سایت‌های هک شده تزریق می‌کنند تا ماکرو در زمان اجرا، آن را دریافت و پس از استخراج کد مخرب، ObliqueRAT را بر روی دستگاه قربانی فراخوانی کند.

ObliqueRAT قادر به شناسایی بسترهای موسوم به Sandbox است؛ بسترهایی که عمدتاً توسط محققان بدافزار به‌منظور مهندسی معکوس و تحلیل کد مورد استفاده قرار می‌گیرند. از جمله آن‌که در صورت فعال بودن هر یک از پروسه‌های زیر، اجرای خود را متوقف می‌کند:

در نسخ اخیر ObliqueRAT، بدافزار از اجرا بر روی سیستم‌هایی که نام دستگاه یا نام کاربری آن‌ها یکی از موارد زیر است نیز خودداری می‌کند:

ObliqueRAT می‌تواند با دریافت فرامین زیر از سرور فرماندهی (C۲) خود اقدام به اجرای اموری همچون تصویربرداری از طریق دوربین دستگاه و جاسوسی از فعالیت‌های کاربر و اطلاعات او کند:
COMMAND CODE = "WES" ; WEBCAM SCREENSHOT
COMMAND CODE = "SSS" ; DESKTOP SCREENSHOT
COMMAND CODE = "PIZZ" COMMAND DATA=<FILENAME> & <ZIP_FILE_NAME>
COMMAND CODE = "PLIT" COMMAND DATA=<TARGET FILEPATH>

برخی منابع ارتباط ObliqueRAT با کارزارهای ناقل CrimsonRAT و گروه Transparent Tribe APT را که حمله به سفارت‌های هند در عربستان سعودی و قزاقستان را در کارنامه دارد محتمل دانسته‌اند. زیرساخت‌های سروهای C۲ آن نیز اشتراکاتی با کارزارهای RevengeRAT دارد.

مشروح گزارش سیسکو در خصوص ObliqueRAT در لینک زیر قابل دریافت و مطالعه است:
https://blog.talosintelligence.com/۲۰۲۱/۰۲/obliquerat-new-campaign.html