研究人员表示,JhoneRAT 具有多种反检测技术,包括使用 Google Drive、Google Forms 和 Twitter。研究人员警告称出现一种新型的远程访问木马 (RAT) JhoneRAT,被当做活跃攻击活动的一部分进行传播,自从2019年11月起就开始进行,针对的是中东地区的受害者。被下载后,该 RAT 收集受害者计算机上的信息,而且还能够下载额外的 payload。有证据表明,JhoneRAT 幕后的攻击者已采取额外措施确保该 RAT 被传播至讲阿拉伯语的受害者。研究人员注意到攻击者还使用多种云服务,如 Google Drive、Google Forms作为该 payload 感染进程的一部分。思科 Talos 团队分析指出,“该攻击活动表明威胁行动者开发了一种自制的 RAT,可在云提供商托管的多层系统中工作。JhoneRAT是通过Python 开发的但并非基于公开源代码,而这种恶意软件通常是这种情况。攻击者竭尽全力基于受害者的键盘布局,仔细地选择位于特定国家的目标。”该 RAT 首先通过恶意的微软 Office 文档传播到受害者。目前正在询问研究人员是通过邮件还是其它方法传播这些文档的。研究人员发现了传播 JhoneRAT 的三种恶意文档:最老旧的文档源自2019年11月,被称为“Urgent.docx”。第二个文档源自2019年1月,被称为“fb.docx”,而且包括源自声称源自“Facebook”泄密事件的用户名和密码。第三种也更近期的文档源自1月中旬,来自阿联酋的组织机构。该恶意软件作者模糊了该文档的内容并要求用户进行编辑才能看到内容。用户打开文档或启用编辑后,该恶意文档之后会从带有嵌入式宏的 Google Drive 下载额外的 Office 文档。有意思的是,攻击者使用多种云服务如 Google Drive、Twitter和 Google Fomrs 来下载 payload。虽然这并非攻击者首次使用云提供商平台,研究人员表示该方法帮助恶意人员逃避检测和防御人员。研究人员指出,“目标难以识别云提供商基础设施的合法的和恶意流量。另外,这种基础设施使用 HTTPS,而加密流量导致中间人拦截变得更加复杂。”将文档下载到 Google Drive 后,会执行命令从新的 Google Drive 连接下载图像。该图像的文件名称或者为 cartoon.jpg、img.jpg或 photo.jpg,而该图像通常说明的是一个卡通。研究人员表示,“下载图像的文件名称是根据一个字典:Array (“cartoon,”“img.”“photo”) 随机生成的。”解码后,该 base64 二进制就是一个 AutoIT 二进制,它在 Google Drive 上释放新文件。该文件包含最后的 payload JhoneRAT,它启动时发送三种线程:一个负责检查系统是否具有目标键盘布局(检查受害者是否讲阿拉伯语),第二个线程用于创建持久性,而第三个线程开启 RAT 的主周期。之后,数据提取(如系统截屏)通过 ImgBB 进行发送。之后通过向 Google Forms 发布数据的方法发送命令,而文件继续被下载到 Google Drive 中。研究人员表示,“该 RAT 使用三种不同的云服务执行所有的 C2 活动。它会使用 BeautifulSoup HTML 解析器每隔10秒钟从 @jhone87438316发布的推文中检查新命令,来识别新推文。”该RAT 还使用其它技术来躲避检测、虚拟机和分析。该宏包含基于受害者环境中磁盘的序列号的虚拟机检测技术。研究人员指出,“另外,攻击者执行反虚拟机(和沙箱)以及反分析技术隐藏恶意活动。例如,该虚拟机或沙箱必须具有目标国家和磁盘序列号的磁盘布局。”研究人员表示,攻击活动仍在进行。他们表示,“目前,该 API 密钥已被撤销而推特账户已暂停。然而,该攻击者能够轻易创建新账户并更新恶意文件以便继续运作。该攻击活动表明基于网络的检测发挥着重要作用,但必须通过系统行为分析完成。”
https://threatpost.com/new-jhonerat-malware-targets-middle-east/152002/
题图:Pixabay License
转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。