تروجان RevengeRAT پس از اجرا بلافاصله با سرور C&C ارتباط برقرار میکند و اطلاعات سیستم قربانی را برای سرور ارسال میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Cybaze-Yoroi ZLab یک جاسوسافزار را مورد بررسی قرار دادند که برای هدف قرار دادن شرکتهای حوزه صنعت خودروسازی در اروپا طراحی شده است.
این بدافزار از طریق ایمیلهای فیشینگ و جعل هویت افراد شناختهشده منتشر میشود. در ایمیلهای مخرب از اسناد PowerPoint با پسوند ppa. استفاده شدهاست که دارای ویژگی باز شدن کد ماکرو VBA بصورت خودکار هستند.
کد ماکرو موجود در فایل ppa، منجر به دانلود و اجرای دراپر مرحله بعد حمله میشود که از آدرس hxxps://minhacasaminhavidacdt.blogspot[.com/ دریافت میشود. در کد این صفحه یک اسکریپت Visual Basic مخفی شدهاست که اقدامات مخرب متعددی را انجاممیدهد.
کدهای مخفیشده در صفحه وب به منظور نصب ویرایشی از تروجان RevengeRAT درون یک کلید رجیستری و اجرای فایل outlook.exe طراحی شدهاست. فایل outlook.exe از فایل Document.exe که از آدرس hxxp://cdtmaster.com[.]br/Document.mp3 دریافت شدهاست، استخراج میشود.
تروجان RevengeRAT پس از اجرا بلافاصله با سرور C&C ارتباط برقرار میکند و اطلاعات سیستم قربانی را برای سرور ارسال میکند. در نمونههای بررسیشده دو آدرس مختلف برای سرورهای C&C مشاهده شدهاست: office365update[.]duckdns.org و systen32.ddns[.]net.
فایل Document.exe در آدرس cdtmaster.com[.]br میزبانی میشود و توسط اسکریپت Z3j.vbs به سیستم قربانی منتقل میشود. این فایل برای انتقال و اجرای بدنه Outlook.exe طراحی شده است.
تروجان RevengeRAT در گذشته توسط گروههای APT ازجمله The Gorgon Group استفاده میشد. با این حال، بهدلیل اینکه کد منبع این تروجان در سالهای گذشته افشا شدهاست، گروههای دیگر نیز از آن استفاده میکنند.
نشانههای آلودگی (IoC):
Dropurl:
• hxxps://minhacasaminhavidacdt.blogspot[.]com
• hxxps://pocasideiascdt.blogspot[.]com/
• hxxp://cdtmaster.]com.br
• ۱۷۷,۸۵.۹۸.۲۴۲
C۲ (RevengeRAT):
• office۳۶۵update[.]duckdns.org
• ۱۸۴,۷۵.۲۰۹.۱۶۹
• systen۳۲.ddns[.]net
• ۱۳۸,۳۶.۳.۲۲۸
Persistency:
• HKCU\AppEvents\<”Values”>
Hash:
• ۴۲۱۱e۰۹۱dfb۳۳۵۲۳d۶۷۵d۲۷۳bdc۱۰۹ddecf۴ee۱c۱f۵f۲۹e۸c۸۲b۹d۰۳۴۴dbb۶a۱
• e۸a۷۶۵ec۸۲۴۸۸۱e۱e۷۸defd۷c۰۱۱da۷۳۵f۳e۳b۹۵۴aaf۹۳a۴۲۸۲b۶۴۵۵a۱b۹afcc
• ۷۰۲e۵cc۹۴۶۲e۴۶۴c۸c۲۹c۸۳۲fe۰d۱ecd۵cd۷۷۴۰cc۲cbceecfd۷۰e۵۶۶da۸۱۹۴a۱