RAT distribuido por Google Drive tiene como objetivo Asia Oriental
Investigadores están rastreando un nuevo troyano de acceso remoto llamado UBoatRAT que está dirigido a individuos u organizaciones vinculadas a Corea del Sur o a la industria de videojuegos.
Mientras que los objetivos no son cien por ciento claros, investigadores de Unit 42 de Palo Alto Networks dicen que la amenaza UBoatRAT está evolucionando, las nuevas variantes son cada vez más sofisticadas. Mencionan que recientes muestras encontradas en septiembre han adoptado nuevas técnicas de evasión y novedosas formas para mantener la persistencia en PC.
“No sabemos los objetivos exactos al momento de escribir esto. Sin embargo, suponemos que los objetivos son personas u organizaciones relacionados a Corea o la industria de videojuegos”, escribió Karou Hayashi, analista de ciberinteligencia de amenazas de Palo Alto Networks, en un reporte técnico de investigación de Unit 42 publicado esta semana. “Vemos títulos de videojuegos en idioma coreano, nombres de compañías Koreanas y algunas palabras usadas en el negocio en la lista”
UBoatRAT fue primeramente identificado por Unit 42 en Mayo de 2017. En aquel entonces, UBoatRAT utilizaba una simple backdoor HTTP y se conectaba a un servidor Comand-and-Control a través de un servicio de blog público en Hong Kong y un servidor web comprometido en Japon. Por septiembre, el RAT evolucionó para adoptar a Google Drive como centro de distribución para malware y usar URL que se conectaran a un repositorio de GitHub que actuaba como un comando y control. UBoatRAT además se aprovecha de Microsoft Windows Background Ingelligent Transfer Service (BITS) para mantener la persistencia en los sistemas objetivos.
BITS es un servicio de Microsoft para transferencia de archivos entre máquinas. BITS es ampliamente conocido por su uso en Windows Update y en software de terceros para la actualización de aplicaciones. El servicio tiene una larga historia de ser abusado por atacantes desde 2007; e incluso hasta hoy, BITS es aún una característica atractiva para los atacantes debido a que el componente de Windows incluye la capacidad de recuperar o cargar archivos usando una aplicación confiable para los firewalls. En el último año, investigadores identificaron atacantes que usaron una característica de notificación de BITS para entregar malware y mantener la persistencia en el sistema.
Con UBoatRAT, los adversarios usan el binario de BITS Bitsadmin.exe como una herramienta de línea de comandos para crear y monitorear trabajos de BITS, dicen los investigadores. “La herramienta proporciona la opción /SetNotifyCmdLine, que ejecuta un programa cuando el trabajo termina de transferir datos o es erróneo. UBoatRAT toma ventaja de la opción para asegurar que se ejecute en el sistema, incluso después de reiniciar”, dicen.
De acuerdo a los investigadores, UBoatRAT es entragado a sus objetivos via URL que dirigen a archivos, ejecutables o Zip, almacenados en Google Drive. “Los zip almacenados en Google Drive contienen el archivo ejecutable malicioso disfrazado como una carpeta o una hoja de cálculo de Microsoft Excel”. La última variante de UBoatRAT, liberada a finales de julio o más tarde, estaba enmascarada como documentos de Microsoft Word”, dicen investigadores.
Si los archivos son ejecutados, UBoatRAT intenta determinar si el sistema objetivo es parte de una red corporativa grande o una PC de casa al verificar si la maquina es parte de un Dominio de Active Directory, comúnmente usado por PCs de negocios. El malware incluso fue programado para detectar software para virtualizar (VMWare, VirtualBox o QEmu) que podría indicar que es un entorno de investigación.
Si las condiciones ideales del host no son encontradas, numerosos mensajes falsos de error de Windows son generados, y el ejecutable de UBoatRat termina.
“La comunicación con el servidor de comando y control es realizada vía una dirección de C2 oculta en el RAT”, dicen investigadores.
“El ataque detrás de UBoatRAT oculta la dirección C2 y el puerto destino en una archivo alojado en Github… Después de establecer un canal con el comando y control, la amenaza espera el siguiente comando del atacante”, escriben investigadores.
Algunos comandos son: “Verifica si el RAT está disponible”, “Inicia el Shell CMD” y “Sube archivos a la maquina comprometida”
El malware recibe su nombre por el modo en que decodifica los caracteres en la URL de GitHub.
“El malware accede a la URL y decodifica los caracteres entre la cadena ‘[Rudeltaktik]’ y el carácter ‘!’ usando BASE64. ‘Rudeltaktik’ es el termino militar Alemán que describe la estrategia del submarino de guerra durante la Segunda Guerra Mundial”, dicen investigadores.
Desde Junio, el repositorio de GitHub “uuu”, donde dirigían las direcciones del C2, fue borrado y remplazado por “uj”, “hhh” y “enm”, de acuerdo al investigador Hayashi. El nombre de usuario de GitHub del repositorio es “elsa999”.
“Aunque la última versión de UBoatRAT fue liberada en septiembre, hemos visto múltiples actualizaciones de la cuenta elsa999 en GitHub en octubre. El autor parece estar desarrollando y probando vigorosamente la amenaza. Continuaremos monitoreando esta actividad por actualizaciones”, dice Hayashi.