要点
Cyble 研究与情报实验室 (CRIL) 最近发现了一个名为 Persian Remote World 的网站,该网站从事销售各种恶意工具。
Persian Remote World 提供了广泛的恶意工具,包括远程访问木马 (RAT)、加载程序和加密程序。
网站开发人员以不同的订阅模式以不同的价格提供这些恶意工具。
据该网站称,该 RAT 可以执行多种权限升级和防御规避操作。
除了传统 RAT 功能外,Persian RAT 还执行勒索软件功能。
该项目背后的开发人员在他们的 Telegram 频道上分享了 Persian Loader 的免费版本。
概述
在我们不断收集实时威胁情报的过程中,CRIL 发现了VirusTotal中存在的新恶意软件加载程序 Persian Loader 。该加载程序有一个指向 Telegram 频道的链接,该频道托管免费的Persian Loader。该频道还包含指向 Persian Remote World 网站的链接,该网站销售多种具有恶意功能的软件工具。该网站销售一系列恶意工具,包括远程访问木马 (RAT)、加载程序和加密程序。CRIL 开始在野外寻找使用 Persian 远程世界相关工具的活跃感染或活动,但迄今为止尚未发现此类活动。
该网站提供 Persian RAT 以及用于构建 RAT 二进制文件和管理受感染系统的面板。RAT 面板包括 PC 名称、服务器、IP 地址、用户、Windows 操作系统版本、体系结构、CPU、GPU 和国家/地区等详细信息,如 Persian Remote World 网站上所述。开发商以订阅模式出售这些 RAT,从 20 美元的 1 个月计划到 200 美元的终身订阅,如下所示。
图 1 – Persian RAT 网站上的帖子
Persian Remote World 正在推广一种名为 Persian Loader 的恶意加载程序。该加载程序包括构建器面板和客户端管理面板,展示受害者的活动列表并提供在受感染系统上执行文件的功能。该面板包含与受害者重新连接、启动或停止监听、执行文件以及构建加载程序二进制文件的选项,所有这些都在附图中概述。开发人员以每月 20 美元的订阅费出售该工具,如下所示。
图 2 – 网站上的 Persian 装载机帖子
Persian Security 是 Persian Remote World 创建的工具,是一种加密器,可以对可执行文件进行加密和混淆,以防止检测和分析。该加密器的售价为每月 45 美元到终身订阅 650 美元,使其成为所有工具中最昂贵的。下图显示了托管 Persian Crypter 的网站。
图 3 – 网站上的 Persian 安全哨所
该网站还包含一个 10 月 18 日创建的 Telegram 频道的链接,这表明开发人员最近才开始开发这些工具。Telegram 频道提供免费的 Persian Loder Builder,并提供每月 20 美元的付费版本。下图显示了这个 Telegram 频道。
图 4 – Persian 远程世界电报频道
技术细节
Persian RAT
CRIL 在VirusTotal上发现了一个Persian RAT 恶意软件样本,其 sha256 哈希值:43403eeb7b8ea5705c727a0fff8d714ea3e27449b6b9ba0edd12c666848e2492。值得注意的是,文件大小为 3.75 MB,与当代 RAT 二进制文件相比相对较大。执行后,Persian RAT 通过CreateMutexW() API 建立一个名为“Persian”的互斥锁。此互斥体可防止系统上出现多个实例,并促进多线程操作期间的协调。下图显示了创建互斥锁的例程。
图 5 – Persian RAT 创建互斥锁
建立互斥锁后,Persian RAT 继续通过AdjustTokenPrivileges() API 激活SeShutdownPrivilege和SeDebugPrivilege权限。这些权限有利于各种恶意操作:
- SeShutdownPrivilege提供启动系统重新启动的功能
- SeDebugPrivilege授权进程检查和修改其他进程的内存
下图显示了设置权限的例程。
图 6 – 设置权限的例程
Persian RAT 是手动控制的;它等待 C&C 指令来执行任何恶意活动。然而,根据我们的静态分析,我们可以看到许多例程表明该 RAT 拥有多种高度恶意的功能。这些功能已在以下各节中进行了阐述。
防火墙操作:
Persian RAT 包含一项功能,使威胁行为者(TA) 能够操纵受害者系统防火墙。这里涉及到使用netsh命令进行防火墙控制,具体操作如下:
- 启用防火墙:netshfirewallsetopmodeenable
- 禁用防火墙:netshfirewallsetopmodedisable
- 打开当前配置文件状态:netsh advfirewall set currentprofile state on
- 关闭当前配置文件状态:netsh advfirewall set currentprofile state off
图 7 – Persian RAT 操纵防火墙的例程
键盘记录器:
Persian RAT 包含一个例程,旨在捕获受害者的击键并将其传输给助教。TA 能够根据需要发送启用或禁用键盘记录的命令。下图显示了与键盘记录相关的例程。
图 8 – Persian RAT 键盘记录例程
Cookie 和密码窃取程序:
Persian RAT 有一个从受害者系统窃取 cookie 的例程,目标是以下浏览器:
- 火狐浏览器
- 谷歌浏览器
- 微软边缘
游戏和软件:
Persian RAT 另外还关注受害者系统上安装的不同游戏和应用程序。助教可以扫描各种游戏和程序,从各自的目录中窃取关键文件。Persian RAT 针对的游戏和应用程序有:
- AppData\Roaming\Spotify
- C:\Program Files\iTunes
- C:\Program Files\Epic Games
- C:\Riot Games\League of Legends
- C:\Program Files\Epic Games\Fortnite
- C:\Program Files (x86)\Minecraft Launcher
- C:\Program Files (x86)\Overwatchretail
- C:\Program Files (x86)\Steam\steamapps\common\Counter-Strike Global Offensive
- C:\Riot Games\VALORANT
- C:\Program Files (x86)\Origin Games\Apex
- C:\Program Files\Genshin Impact\Genshin Impact Game
- \AppData\Local\Discord
- \AppData\Roaming\Exodus
- \AppData\Roaming\atomic
- \AppData\Roaming\FileZilla
- \AppData\Roaming\VMware
- \AppData\Roaming\Telegram Desktop
- C:\Program Files (x86)\Steam
- C:\Program Files (x86)\Rockstar Games
- C:\Program Files (x86)\Ubisoft
- C:\Program Files (x86)\Origin
- C:\Program Files (x86)\Battle.net
命令:
RAT 包含一系列与用户帐户控制 (UAC)、防火墙操作、勒索软件操作和屏幕捕获功能以及与银行网站交互相关的嵌入式命令。以下是 RAT 中嵌入的命令。
- DISABLEUAC
- DISABLEFIREWALL
- STARTBOMB
- STARTRANSOMWARE
- STARTSCREENWATCHING
- STOPSCREENWATCHING
- ACTIVATEBANKING
- DISABLEBANKING
针对银行和金融组织:
我们还在二进制文件中发现了一些有趣的硬编码字符串,这表明 RAT 针对的是多家金融机构,如下所示。
图 9 – 涉及金融机构的硬编码字符串
Persian Loader
Persian Loader 允许在受害系统上执行其他可执行文件。Persian Loader 程序二进制文件采用 TCP 套接字,有助于在受感染系统内执行第二阶段有效负载。Persian Loader 构建器和管理工具,即 Persian X Loader 5.0,免费托管在他们的 Telegram 频道上。下图显示了 Persian X Loader 5.0 Builder 面板。
图 10 – Persian X Loader 5.0 Builder 面板
Persian X Loader 5.0可以创建自定义监听服务器,可以绑定到任何指定端口。此侦听器充当 Persian X Loader 5.0 Builder 创建的恶意加载程序的服务器。下图是Persian Loader管理面板的监听端口。
图 11 – Persian 装载机的端口绑定
TA 可以通过在构建器中添加侦听器服务器 IP 和端口,使用 Persian X Loader 5.0 构建恶意加载程序二进制文件。当在受害者的系统中执行时,新构建的可执行文件将连接到侦听器端口上的侦听器服务器。下图显示了 Persian Loader 的构建器。
图 12 – Persian Loader 生成器
Persian Loader 有一个面板来管理在受害系统上运行的已部署加载程序。该面板有各种选项,包括重新连接特定受害者、启动侦听服务器、停止侦听服务器、在已受感染的系统中执行文件以及构建新的加载程序二进制文件。下图显示了 Persian 加载程序在受感染系统上执行其他恶意文件的活动面板。
图 13 – 用于远程执行文件的波斯语加载程序面板
结论
我们观察和分析的 Persian 远程世界上可用的恶意工具对潜在受害者构成了重大威胁。威胁参与者可以远程执行命令、窃取数据以及操纵受感染系统上的系统设置。RAT 会导致未经授权的控制,从而对用户隐私、财务安全和关键数据的完整性构成风险。
威胁行为者可以进行身份盗窃、财务欺诈和未经授权的系统修改。RAT 的持久性使其特别危险,因为它们可以在不被发现的情况下长时间运行,从而使缓解工作变得复杂,并进一步强调了强有力的网络安全措施的重要性。
我们的建议
- RAT 和加载程序的初始渗透通常通过网络钓鱼网站或电子邮件进行。仅从众所周知且可信的来源下载和安装软件应用程序并避免打开来自未知发件人的电子邮件至关重要。
- 用户应通过验证是否存在安全连接 ( https:// ) 并确保域名拼写准确来确认网站的合法性。
- 部署强大的防病毒和反恶意软件解决方案来检测和删除恶意可执行文件。
- 通过为每个帐户创建强而独特的密码来增强系统安全性,并在可行的情况下激活双因素身份验证。
- 定期备份数据,以确保在发生感染时能够恢复数据,并让用户了解网络犯罪分子采用的最新网络钓鱼和社会工程方法。
IOC
转载来源:https://cyble.com/blog/new-persian-remote-world-selling-a-suite-of-malicious-tools/
图片来源网络目标可联系删除
