新JhoneRAT後門木馬程式專門針對中東地區

專家警告新形遠端存取木馬程式 JhoneRAT 自去年11月而開始活動,目標對準中東地區,並借 Google Drive、Google Forms 和 Twitter 作為中介,受害者一載,木馬程式便會收集用戶電腦上的資料並追加下載其他惡意內容。

借公共雲端逃避偵測
根據專家透露,有證據顯示攻擊者為了確保木馬程式的感染目標操阿拉伯語,而加入了額外的步驟,並且利用不同的雲端服務 (例如 Google Drive 和 Google Forms) 作為感染過程的其中一步。這次的攻擊顯示了幕後黑手自行開發了借用公共雲端的遠端存取木馬程式,雖然 JhoneRAT 以 Python 開發但並不是基於公開源代碼,攻擊者很努力小心選擇攻擊目標的位置,憑受害者的鍵盤佈局瞄準指定的國家。

透過 Microsoft Office 文件散播
JhoneRAT 最初是透過惡意的 .docx 文件進行散播,研究人員發到 3 個惡意文件用作傳播的用途,最近更訛稱是阿拉伯聯合酋長國的機構發出,而且攻擊者會把文件內容模糊,要求用戶啟動編輯才能看到,但是當用戶打開文件或啟動編輯,惡意文件便會開始從 Google Drive 下載含有 Macro 的 Microsoft Office 文件。感染的過程攻擊者使用多項雲端服務,而這些方法有助惡意行為逃避偵測或防禦。

當從 Google Drive 下載文件後,便會執行指令從一條新 Google Drive 連結下載一張圖片 (有 base64 編碼的二進制附加到結尾),檔案名稱隨機產生,而圖片通常是卡通畫面。經過解碼後該 base64 二進制是一個 AutoIT 二進制,會從 Google Drive 下載新的檔案,而這個檔案才是最終的 JhoneRAT,它起動時有 3 個步驟,第一是檢查系統是否有指定的鍵盤佈局 (阿拉伯語),然後開始入侵,最後是打開遠端存取木馬程式。

當盜取用戶的資料了後 (例系系統撮圖) 就會透過 ImgBB 傳送,它是一個免費的影像存放和分享服務,指令還會把資料發送到 Google Forms並且持續從 Google Drive 上下載檔案,更懂得每 10 秒檢查特定的 Tweet (帳號已被封鎖) 來檢查來自攻擊者的新指令。

研究人員同時發現攻擊者採用了反 VM (和沙盒) 及反分析的技術去躲避分析,通過檢查鍵盤佈局和硬盤序號進行分辨,並表示 JhoneRAT 至今活動仍然持續,雖然 API 被撤銷和 Twitter 帳號被封鎖,攻擊者可以輕鬆創建新帳號和更新惡意檔案就能繼續作惡,事件證明根據網絡的偵測雖然重要,但系統行為分析也不能忽略。

資料來源:Threat Post