BIOPASS RAT

これまで知られていなかったリモートアクセストロイの木馬（RAT）の脅威が、水飲み場型攻撃で中国のオンラインギャンブル会社を標的とした有害な操作の一部として発見されました。研究者はマルウェアにBIOPASSRATという名前を付け、その機能を詳述したレポートをリリースしました。脅威は、正当でよく知られているが、現在は非推奨のソフトウェア製品を装ったマルウェアローダーを介して、侵害されたサイトの訪問者に配信されました。ローダーは、Adobe FlashPlayerまたはMicrosoftSilverlightのインストーラーとしてそれ自体を渡すことが確認されています。攻撃者は通常、侵害されたサイトのオンラインサポートページに感染スクリプトを配置しました。ローダーが被害者のマシンで実行されると、 CobaltビーコンまたはBIOPASSRATペイロードのいずれかがドロップされます。

BIOPASSRATは被害者の画面をストリーミングできます

Pythonプログラミング言語を使用して記述されたBIOPASSRATは、いくつかのひねりを加えた本格的なリモートアクセスの脅威です。ファイルシステムを操作できます。ディレクトリの削除または作成、ファイルの削除、ダウンロード、アップロードのほか、選択したプロセスの強制終了や任意のコマンドの実行が可能です。ただし、BIOPASS RATは、システムのスクリーンショットをキャプチャするなど、悪意のある目標を達成するのに役立ついくつかのツールをダウンロードします。しかし、脅威はそれを超えています。人気のストリーミングおよびビデオ録画製品OBS（Open Broadcaster Software）Studioのフレームワークを削除して活用することにより、BIOPASSは、RTMP（Real-Time Messaging Protocol）を介して、侵害されたデバイスの画面をクラウドサービスにライブストリーミングすることができます。

さらに、BIOPASSは、中国で人気のあるいくつかのWebブラウザやインスタントメッセージングアプリケーションから、機密性の高い個人データの大規模なセットにアクセスするように命令できます。対象となるアプリケーションには、 QQブラウザー、 Sogou Explorer 、 2345 Explorer 、WeChat、360 Safe Browser、QQ、およびAliwangwangがあります。抽出されたすべてのユーザーデータは、BIOPASS RAT Pythonスクリプトとともに、オブジェクトストレージサービス（OSS）を利用してAlibaba Cloud（Aliyun）に保存されます。

脅威の帰属

決定的なものではありませんが、BIOPASSRATとサイバースパイ攻撃を専門とする洗練された中国関連の脅威アクターであるWinntiGroup（APT41）との間にいくつかの関連性が発見されています。 2つの間の1つの接続は、BIOPASSRATローダーバイナリの署名に使用される証明書を介して確立できます。それらの多くは、韓国または台湾のゲームスタジオから流用された可能性が最も高いです。これは、過去の悪意のある操作でゲームスタジオに属する不正に流用された証明書を組み込んだWinntiハッカーの確立された特徴です。

BIOPASS RATローダー証明書の1つは、Derusbiマルウェアのサーバー側の亜種に署名するためにも使用されました。この特定の脅威は、いくつかのAPT（Advanced Persistent Threat）グループの脅威ツールキットの一部です。ただし、サーバー側の亜種は、Winntiグループによる攻撃のローダーとして観察されています。トレンドマイクロの研究者は、Winntiのハッカーにすでに起因しているPBDストリングとC＆Cドメインを備えたCobaltStrikeローダーも発見しました。

BIOPASS RATはまだ活発に開発されていると考えられているため、さらに高度なバージョンの脅威がリリースされると、BIOPASSRATがもたらす危険性はさらに大きくなる可能性があります。