Исследователи из Arbor Networks обнаружили нового RAT-троянца, позволяющего шпионить за пользователями. Зловред, нареченный Trochilus, также способен обходить песочницы и уже используется в целевых атаках.
По свидетельству экспертов, Trochilus является частью вредоносного комплекта, который в Arbor называют Seven Pointed Dagger (“Семилезвийный кинжал”).
Этот набор инструментов также включает PlugX, 9002 RAT (вариации 3102) и EvilGrab; он является основным оружием криминальной группы, которой команда Cisco Talos присвоила наименование Group 27. Первые следы вредоносной деятельности Group 27, в частности, применения PlugX, Arbor обнаружила минувшим летом. Новые зловреды, в том числе Trochilus, засветились на радарах ИБ-компании в октябре. Как и прежние находки, новоявленные вредоносные файлы были размещены на сайте избирательной комиссии Мьянмы.
По свидетельству исследователей, Trochilus почти не оставляет следов своего присутствия в системе и умело избегает обнаружения. “Это вредоносное ПО…, похоже, работает лишь в памяти и не оставляет никаких отпечатков на диске, кроме зашифрованных файлов, которые не исполняются самопроизвольно и устойчивы к процессам статического детектирования вредоносных файлов и к статическому анализу”, – пишет Arbor в отчете.
Все возможности RAT-троянца детализированы в файле readme, в том числе его функциональность: расширение шелл-кода, удаленная деинсталляция, менеджер файлов, загрузка и исполнение, подкачка и исполнение. Представители Arbor также отметили, что данный зловред снабжен “средствами горизонтального продвижения внутри мишени с целью расширения стратегического доступа”.
В качестве плацдарма Group 27 избрала сайт избиркома Мьянмы; целевые атаки спровоцировали, в основном, прошлогодние парламентские выборы в этой стране – первые со времени формирования гражданского правительства (2011 г.). Прошло уже два месяца после победы демократов, однако переходный период в стране еще полном разгаре, и Arbor советует получателям электронной корреспонденции быть начеку.
Trochilus и другие зловреды из арсенала Group 27 распространяются преимущественно в виде вложений в письма, к примеру, в архивных файлах в формате .rar, и они наверняка продолжат атаковать симпатизирующие новым избранникам организации, в особенности те, которые поддерживают программу развития Организации Объединенных Наций (ПРООН).
Вредоносная кампания, обнаруженная Arbor, по всей видимости, является продолжением серии аналогичных атак против НКО в Юго-Восточной Азии, о которых в прошлом году докладывала канадская Citizen Lab. В тех целевых атаках также использовались некоторые из упомянутых зловредов, в частности, PlugX, который раздавался посредством email-рассылок с zip-вложениями, адресованных разным группам тибетской диаспоры.
