محققان یک گروه مخرب جدید که بدافزار قدرتمند ExileRAT را که از طریق اسناد پاورپوینت با استفاده از زیرساخت های سرور منسوخ C2 پخش می کند، شناسایی کردهاند. مهاجمان نرمافزارهای مخرب را از طریق پیوست ایمیل ارسال شده از سوی ایمیل نمایندگی اداره کل مرکزی ثبت (Central Tibetan Administration (CTA که یک سازمان دولتی ثبتی است، پخش میکنند.
به نظر میرسد هدف این گروه از بدافزارها، جاسوسی از جمعیت عمومی به دلایل سیاسی باشد و به احتمال زیاد برای رسیدن به نفع مالی نیست. فرمت PPSX که یک فرمت Slideshow غیر قابل ویرایش Microsoft PowerPoint می باشد و یک فهرست ایمیل CTA برای این حمله مورد استفاده قرار گرفتهاند. تجزیه و تحلیل بیشتر نشان داد که این گروه از بدافزار همان Payload و زیرساخت های LuckyCat، که یک بدافزار برای سیستمهای اندروید و ویندوز می باشد، را دارد.
جدا از این، میزبانی سرور C2 کشف شده برای چندین گروه با استفاده از Payload مشابه و تحویل دهندهی فایل PPSX به مهاجم اجازه میدهد تا Payloadهای مختلف را در سیستم قربانی اجرا کند. زیرساخت استفاده شده برای فهرست ایمیلها نیز، زیرساخت های کمپانی هندی DearMail میباشد که مدیریت کمپین ایمیل مبتنی بر Cloud را ارائه میدهد. مهاجمان از سربرگ ایمیل و تغییر استاندارد پاسخ سوءاستفاده کرده که به آنها اجازه می دهد مستقیما از آدرس ایمیل قربانیان به آدرس ایمیل مهاجم پاسخ دریافت کنند.
فرایند آلوده شدن به بدافزار ExileRat
مهاجمان از آسیبپذیری که مربوط به فعالسازی کدهای Remote مبتنی بر Microsoft Office که در GitHub قابل دسترس عموم است استفاده می کنند. کد آسیبپذیری در فایل slide1.xml.rels قرار دارد و محققان با تجزیه و تحلیل پویا در Threat Grid، یافتند که فایل PPSX همچنین تلاش میکند با مراجعه به مکان IP، جستجوی مکان جغرافیایی IP نیز انجام دهد.
بعدا درخواست HTTP را به سرور C2 آغاز میکند و یک اسکریپت JavaScript که مسئول بارگیری Payload “Syshost.exe” است را دریافت و سیستم را آلوده می کند.
ExileRAT یک بدافزار مبتنی بر تروجان از راه دور است که قادر به گرفتن اطلاعات سیستم شامل نام کامپیوتر، نام کاربری، لیست درایوها، آداپتور شبکه و نام Process، گرفتن و فرستادن فایل ها و اجرا و یا پایان دادن به Processها است. براساس تحقیق Cisco Talos، به استثنای آلودهشدنهایی که با ExileRAT بوده، محققان چندین دایرکتوری باز را شناسایی کرده که حاوی فایلهای دیگر exe و dll یعنی AcroRd32.exe و ccL100U.dll بودند. همچنین محققان Talos گفته اند: «در IP سرورهای C2 در Syshost.exe که اخیرا به دامنه mondaynews[.]tk متصل شده است. این دامنهی C2 یک RAT اندروید است که در 3 ژانویه ایجاد شده و یک نسخه آندروید جدیدتر از RAT LuckyCat است و در سال 2012 در برابر فعالان منطقهی تبت استفاده شده بود.»