BIOPASS-RATTE

Eine bisher unbekannte Bedrohung durch einen Remote-Access-Trojaner (RAT) wurde als Teil einer schädlichen Operation entdeckt, die chinesische Online-Glücksspielunternehmen bei einem Watering-Hole-Angriff angreift. Forscher nannten die Malware BIOPASS RAT und veröffentlichten einen Bericht, in dem ihre Fähigkeiten beschrieben sind. Die Bedrohung wurde den Besuchern der kompromittierten Websites über einen Malware-Loader übermittelt, der sich als legitime und bekannte, aber inzwischen veraltete Softwareprodukte ausgibt. Es wurde beobachtet, dass sich der Loader als Installer für Adobe Flash Player oder Microsoft Silverlight ausgibt. Der Bedrohungsakteur platzierte das Infektionsskript normalerweise auf der Online-Supportseite der kompromittierten Site. Wenn der Loader auf dem Computer des Opfers ausgeführt wird, liefert er entweder ein Kobalt- Beacon oder eine BIOPASS RAT-Nutzlast.

BIOPASS RATs können den Bildschirm des Opfers streamen

BIOPASS RAT wurde in der Programmiersprache Python geschrieben und ist eine vollwertige Bedrohung für den Fernzugriff mit ein paar Wendungen. Es kann das Dateisystem manipulieren - Verzeichnisse löschen oder erstellen, Dateien löschen, herunterladen oder hochladen sowie ausgewählte Prozesse beenden und beliebige Befehle ausführen. Der BIOPASS RAT lädt jedoch mehrere Tools herunter, die ihm bei seinen bösartigen Zielen helfen, wie z. B. das Aufnehmen von Screenshots des Systems. Die Bedrohung geht jedoch noch darüber hinaus. Durch das Löschen und Ausnutzen des Frameworks des beliebten Streaming- und Videoaufzeichnungsprodukts OBS (Open Broadcaster Software) Studio ist BIOPASS in der Lage, den Bildschirm des angegriffenen Geräts über das RTMP (Real-Time Messaging Protocol) live an einen Cloud-Dienst zu streamen.

Darüber hinaus kann BIOPASS angewiesen werden, von mehreren in China beliebten Webbrowsern und Instant-Messaging-Anwendungen auf eine große Menge sensibler privater Daten zuzugreifen. Zu den Zielanwendungen gehören QQ Browser, Sogou Explorer, 2345 Explorer, WeChat, 360 Safe Browser, QQ und Aliwangwang. Alle exfiltrierten Benutzerdaten werden zusammen mit den BIOPASS RAT Python-Skripten in der Alibaba Cloud (Aliyun) gespeichert, indem der Objektspeicherdienst (OSS) genutzt wird.

Die Zuschreibung der Bedrohung

Obwohl nicht schlüssig, wurden einige Verbindungen zwischen BIOPASS RAT und der Winnti Group ( APT41 ) entdeckt, einem hoch entwickelten chinesischen Bedrohungsakteur, der sich auf Cyberspionage-Angriffe spezialisiert hat. Eine Verbindung zwischen beiden kann über die Zertifikate hergestellt werden, die zum Signieren der BIOPASS RAT-Loader-Binärdateien verwendet werden. Viele von ihnen wurden höchstwahrscheinlich von südkoreanischen oder taiwanesischen Spielestudios zweckentfremdet. Dies ist ein etabliertes Merkmal der Winnti-Hacker, die in ihre früheren böswilligen Operationen missbrauchte Zertifikate von spielbegeisterten Personen eingebaut haben.

Eines der BIOPASS RAT-Loader-Zertifikate wurde auch verwendet, um eine serverseitige Variante der Derusbi-Malware zu signieren. Diese besondere Bedrohung war Teil der bedrohlichen Toolkits mehrerer APT-Gruppen (Advanced Persistent Threat). Allerdings wurde die serverseitige Variante als Loader bei Angriffen der Winnti Group beobachtet. Außerdem entdeckten die Trend Micro-Forscher einen Cobalt-Strike-Loader mit einem PBD-String und C&C-Domänen, die bereits den Hackern von Winnti zugeschrieben wurden.

Es wird davon ausgegangen, dass sich die BIOPASS RAT noch in der Entwicklung befindet, sodass die Gefahr, die sie darstellt, in Zukunft mit der Veröffentlichung noch ausgefeilterer Versionen der Bedrohung noch größer werden könnte.