BitRAT 以共享敏感银行数据为诱饵

吉沃运营专员

英文原文：https://blog.qualys.com/vulnerab ... bank-data-as-a-lure

介绍

2022 年 6 月，Qualys 威胁研究部门 (TRU) 撰写了一份关于 Redline 的深度报告，Redline 是一种现成的商业信息窃取程序，通过托管在 Discord 内容交付网络上的假冒破解软件进行传播。从那以后，我们继续跟踪类似的威胁，以确定它们不断发展的能力。在这篇文章中，将重点介绍对另一种现成的商业恶意软件 —— BitRAT。

BitRAT 是一种相当新的、臭名昭著的远程访问木马 (RAT)，自 2021 年 2 月起在地下网络犯罪网络市场和论坛上销售，RAT 以其社交媒体存在和功能而闻名，例如：

• 数据外泄
• 绕过执行有效负载。
• 分布式拒绝服务
• 键盘记录
• 网络摄像头和麦克风录音
• 凭据盗窃
• 门罗币挖矿
• 进程、文件、软件等的运行任务
  

这些功能及其相对较低的 20 美元成本使 BitRAT 成为一种普遍存在的威胁。

Breach 细节

在调查针对 BitRAT 的多种诱饵时，我们发现攻击者劫持了一家哥伦比亚合作银行的基础设施。此外，诱饵本身包含来自银行的敏感数据，以使其看起来合法。这意味着攻击者已经获得了访问客户数据的权限。在深入挖掘基础设施的同时，我们发现了指向使用工具 sqlmap 来查找潜在 SQLi 故障的日志，以及实际的数据库转储。总的来说，有 4,18,777 行客户的敏感数据被泄露，包括 Cedula 号码 (哥伦比亚国民身份证)、电子邮件地址、电话号码、客户姓名、付款记录、工资、地址等详细信息。截至今天，还没有发现此信息在我们的任何暗网/明网监控列表中共享。

我们正在对已确定的受害者遵循标准的泄露披露准则，并将随着事情的进展用更多数据更新这篇文章。

表格中的数据在 Excel 恶意文档以及数据库转储的一部分中重复使用。

样本分析

excel 包含一个高度混淆的宏，它会释放一个 inf 负载并执行它。.inf 有效负载在宏中被分割成数百个数组。去混淆例程对这些数组执行算术运算以重建有效负载。然后宏将有效负载写入 temp 并通过 advpack.dll 执行它。



.inf 文件包含一个十六进制编码的第二阶段 dll 有效负载，它通过 certutil 解码，写入 %temp%\ 并由 rundll32 执行，然后删除临时文件。



该 dll 使用各种反调试技术来下载和执行最终的 BitRAT 负载，它使用 WinHTTP 库将 BitRAT 嵌入式有效负载从 GitHub 下载到 %temp% 目录。



然后 dll 使用 WinExec 启动 %temp% 负载并退出。GitHub 存储库是在 11 月中旬创建的，该帐户是一次性创建的，只是为了托管多个有效负载。





这些文件中的每一个都是通过 DeepSea 混淆的 BitRAT 加载程序样本。BitRAT 示例嵌入到加载程序中，并通过 SmartAssembly 进行了混淆处理。加载程序解码二进制文件并反射加载它们。



它们还包含从两家不同公司劫持的资源，以显得合法。



BitRAT 启动并将加载程序重新定位到用户的启动以实现持久性。它具有以下配置：

1. "Host": "<C2 IP>",
   
2. "Port": "7722",
   
3. "Tor Port": "0",
   
4. "Install Dir": "0",
   
5. "Install File": "0",
   
6. "Communication Password": "c4ca4238a0b923820dcc509a6f75849b",
   
7. "Tor Process Name": "tor"

复制代码

结论

RAT 一直在改进其传播和感染受害者的方法，还增加了合法基础设施的使用来托管他们的有效载荷，防御者需要对此负责。我们 Qualys 威胁研究部门将继续监控和记录此类威胁，以了解其不断发展的 TTP。