中國網軍濫用直播軟體OBS,在賭博網站上傳播 BIOPASS木馬程式

Key Points:

*研究人員在針對中國賭博網站用戶的攻擊中發現了新的RAT(遠端存取木馬程式) “BIOPASS”

*BIOPASS利用 OBS Studio 軟體向攻擊者直播受害者的螢幕

*已經發現 BIOPASS 惡意軟體與Winnti/APT41 的中國APT駭客組織之間存在聯繫

Trend Micro研究人員警告說,一種新的惡意軟體正在通過水坑攻擊(Watering hole)來入侵中國的線上賭博公司,以部署 Cobalt Strike beacon程式或新的Python 的後門程式BIOPASS RAT,該後門利用 Open Broadcaster Software(簡稱為OBS Studio) 的直播實況串流應用程式直播受害者的螢幕給攻擊者。研究人員指出RAT 已被偽裝在 Adobe Flash Player 或 Microsoft Silverlight 的合法安裝程式中(這兩種軟體已到產品生命週期終止End of Life),但在中國仍然使用。根據上週TrendMicro的研究報告,攻擊者在中國賭博網站的技術/聊天支援頁面上植入的惡意 JavaScript 程式將用戶重新導向到攻擊者用於感染受害者的頁面。

具體來說,那些安裝了惡意 Flash Player 和 Silverlight 應用程式的人,不止安裝了合法版本的軟體同時也將BIOPASS木馬程式安裝下去,從而使攻擊者可以完全控制他們的系統。

研究人員在分析中指出,BIOPASS具有在其他惡意軟體中發現的基本功能,例如檔案系統評估、遠端桌面存取、檔案外洩和 shell 命令執行。同時它還能夠通過竊取web browser和即時通訊客戶端數據來洩露受害者的私人資訊。

雖然 BIOPASS 看起來與任何其他遠端存取木馬程式一樣,但它還帶有任何其他惡意軟體中沒有的新功能——即它在受害者的系統上安裝 OBS Studio軟體。OBS Studio 是個免費且開放原始碼的影音串流直播工具,可支援 YouTube, YouTube Gaming, Twitch, Facebook Live, Smashcast, DailyMotion, Twitter…等三十多個影音平台與直播服務。

BIOPASS 除了具有運行典型間諜軟體範圍的一系列功能外,還配備通過即時通訊遞協定 (RTMP) 將即時串流流建立到攻擊者控制下的遠端服務,此外還可使用 Socket.IO 協定與C2伺服器通信。

趨勢科技的研究人員表示,他們發現 BIOPASS 與 Winnti Group(又名APT41)相關的 TTPs 之間存在重疊,Winnti Group是一個專門從事網路間諜攻擊的中國政府長期資助的對象,官方色彩非常濃厚。2020年5月中,法務部調查局曾就中油、台塑化及封測廠力成遭惡意程式攻擊,研判為Winnti Group所為。

Winnti除了發動的路間諜攻擊外,過去也曾對線上遊戲公司發動於經濟動機的攻擊,以謀取利益。

有關BIOPASS RAT的情資:

https://otx.alienvault.com/pulse/60ec06ea60906a8a9c69cf23