众所周知,Revenge RAT和Orcus RAT是网络威胁领域中最常用的两种远程访问木马。自2016年首次出现以来,Revenge RAT就被大量的黑客用于攻击世界各地的组织和个人。今年年初,Orcus RAT的开发者被加拿大警方逮捕。在此之前,这种远程访问木马一直在暗网交易市场上出售。
近日,思科Talos团队宣称发现了一个长期传播包括RevengeRAT和Orcus RAT在内的各种各样恶意软件的黑客组织,攻击目标包括政府实体、金融服务组织、信息技术服务提供商和咨询公司等,并且到目前为止仍在持续活跃。
恶意电子邮件活动
Talos团队表示,这个黑客组织发送的恶意电子邮件都伪装成针对目标组织的投诉,且都声称来自诸如美国商业优化局(BBB)、澳大利亚竞争与消费者委员会(ACCC)以及新西兰商业创新与就业部(MBIE)这样的权力机构,示例如下:
早期的恶意电子邮件包含一个超链接,能够将SendGrid电子邮件服务的用户重定向到由攻击者控制的服务器,而包含用于感染系统的恶意PE32可执行文件的ZIP压缩文件就托管在该服务器上。
执行PE32文件,会导致系统感染Orcus RAT。
值得注意的是,PE32文件使用了双后缀名(478768766.pdf.exe)。默认情况下,Windows操作系统只会显示第一个扩展名(.pdf),而且它使用的图标也证明它想让自己看起来与Adobe Acrobat相关联。
如上所述,478768766.pdf.exe负责提取并解密Orcus RAT,而Orcus RAT就包含在它的Rresources文件夹下的“人豆认关尔八七”文件中,如下图所示:
在后期的活动中,这个黑客组织更改了感染链,电子邮件不再使用SendGrid链接,而是使用ZIP压缩文件附件。
ZIP压缩文件包含一些恶意批处理文件,用于检索恶意的PE32文件并执行它,从而感染系统。
解码后的恶意批处理文件如下,用于将.js文件下载到本地目录(C:\windows\r2.js)下并执行它。
r2.js经过混淆处理,包含了大量的垃圾代码。
r2.js首先会将字符串“TVqQ…”写入注册表,并在感染过程完成后加载它,对其进行解码并执行。
在dnSpy中进行反编译,你会发现,有效载荷实际上是RevengeRAT。
有效载荷分析
经过仔细分析,思科Talos团队发现这个黑客组织除了使用Revenge RAT,还是使用了Orcus RAT。
这两种远程访问木马有一个共同之处,那就是它们的源代码都能在暗网交易市场上找到,而这个黑客组织只是对源代码进行了略微的修改而已(如代码执行顺序、变量等)。
结论
这个黑客组织的恶意软件分发活动仍在进行中,并且他们很有可能还会扩大分发的范围。因此,让大家切记不要打开陌生电子邮件,绝不是危言耸听。
另一方面,鉴于Revenge RAT和Orcus RAT的源代码都非常容易得到,因此我们很可能会在今后继续看到这两种远程访问木马更多的新变种。如此一来,大家似乎有必要做好防御措施。
