Группа анализа ASEC недавно обнаружила распространение Quasar RAT через частную домашнюю торговую систему (HTS). При поиске HTS под названием HPlus, которая использовалась в атаке, не удалось найти никакой информации. Более того, название компании не удалось найти даже в пункте процесса установки, поэтому предполагается, что жертвы не устанавливали свою HTS из институциональной финансовой компании, а получили HPlus HTS через несанкционированный источник или замаскированную финансовую инвестиционную компанию. Вредоносная программа Quasar, которая была установлена частным HTS, является вредоносной программой RAT, которая позволяет субъектам угроз получить контроль над зараженными системами для кражи информации или выполнения вредоносных действий.
Quasar RAT
Частная торговая система HTS (Home Trading System)
Домашняя торговая система (HTS) - это система, которая позволяет инвесторам торговать акциями, используя свои домашние или офисные компьютеры, вместо того чтобы посещать биржевые фирмы или звонить по телефону. В отличие от прошлых лет, большинство людей устанавливают HTS на свои мобильные телефоны или ПК, чтобы торговать финансовыми продуктами онлайн, такими как акции, фонды и фьючерсы.
В большинстве случаев пользователи устанавливают HTS, предоставляемые институциональными финансовыми компаниями, и совершают финансовые операции через эти компании. Однако в последнее время был отмечен ряд случаев, когда нелегальные финансовые инвестиционные компании, маскирующиеся под законные, заставляли пользователей устанавливать частные HTS и затем крали их инвестиции.
Большинство несанкционированных финансовых инвестиционных компаний обманывают пользователей с помощью рекламы в Интернете или SMS, прежде чем пригласить их присоединиться к групповым чатам, например, на KakaoTalk. Как правило, они рекламируют возможность торговли зарубежными фьючерсами с небольшим депозитом, предлагают освобождение от уплаты комиссионных и выдают кредиты. Администраторы этих групповых чатов заставляют пользователей, собранных таким образом, устанавливать свои частные HTS и вкладывать инвестиции.
Мошеннические группы, использующие частные HTS, перехватывают инвестиции пользователей различными способами. Например, они обманывают пользователей, заставляя их поверить в то, что они получают прибыль, а затем бесследно исчезают, когда инвесторы запрашивают вывод средств. Бывают также случаи, когда инвесторам предлагают сделать вклады, а затем забирают все их вклады в качестве "платы за обслуживание". Частные ВТС, используемые в этих случаях мошенничества, практически неотличимы от ВТС, предоставляемых биржевыми фирмами, чтобы пользователи считали, что совершаются обычные сделки.
Вредоносное ПО, замаскированное под частные ГТС
Группа анализа ASEC недавно обнаружила, что Quasar RAT распространяется через частные HTS. Трудно подтвердить, как был установлен частный HTS, поскольку пользователей подталкивают к его установке через эксклюзивные групповые чаты; однако команде удалось получить в свои руки недавнюю программу установки через журнал ASD (AhnLab Smart Defense).
После проверки путей, по которым устанавливалась вредоносная программа, были обнаружены пути, включающие ключевые слова "Private" и "VIP". Можно сделать вывод, что они были распространены вышеупомянутыми незаконными финансовыми инвестиционными компаниями. По ключевому слову "Futures" можно предположить, что пользователи были собраны через рекламу, которая утверждала, что вы можете торговать зарубежными фьючерсами с небольшим депозитом.
- \privatevip_setup [hts]\hplus\
- \HPlus(фьючерсы)\hplus\
- \Futures and Stocks\hts manager\hplus\
Первая программа установки - это программа установки NSIS с именем файла "HPlusSetup.exe". Для справки предполагается, что частная ВТС под названием HPlus существует как минимум с 2016 года. Это объясняется тем, что некоторые из файлов, сгенерированных после установки, уже были собраны инфраструктурой ASD в 2016 году. Следующие файлы можно найти в пути установки после завершения установки. Файл "config.ini" - это вредоносный файл, в котором содержится адрес сервера обновлений.
"Asset.exe" - первая программа, которая выполняется после установки. Ярлык, созданный на рабочем столе, также служит для запуска файла "Asset.exe". "Asset.exe", который является одновременно программой запуска и обновления, считывает файл "config.ini" по тому же пути, чтобы получить адрес сервера обновления и проверить, является ли текущая версия последней. Она загружает файл обновления и устанавливает его, если версия устарела.
Предполагается, что перед распространением установочного файла агент угрозы задает адрес FTP-сервера, на который загружается вредоносная программа, в качестве содержимого файла "config.ini". Таким образом, сжатый файл обновления, содержащий вредоносное ПО, загружается и Quasar RAT устанавливается в пользовательской среде.
Кроме того, не подтверждено, всегда ли частный HTS, HPlus, устанавливал штаммы вредоносного ПО или нет. Единственные подтвержденные факты - это то, что HPlus использовался с 2016 по примерно 2017 год и недавно снова распространяется как штамм вредоносного ПО, устанавливающий Quasar RAT.
Процесс обновления
"Asset.exe" - это и частная программа запуска HTS, и программа обновления, которая следит за актуальностью программы. Для этого при запуске он должен сначала найти адрес сервера обновлений. Этот адрес существует в файле "config.ini", который находится по тому же пути. Следующие числа можно найти, проверив файл "config.ini". Определенная часть этих чисел является IP-адресом сервера C&C. Поэтому числа, жестко закодированные в определенных местах, становятся адресом C&C. Например, 446-е, 409-е и 408-е числа - это "1", "0" и "3" соответственно.
Кроме того, номер порта сервера C&C жестко закодирован в файле "Asset.exe". Предполагая, что этот файл был собран примерно в 2016 году, команда считает, что угрожающий агент установил номер порта на тот, который был в существующем файле "Asset.exe", чтобы продолжать использовать этот файл. Кроме того, соответствующие адреса сервера C&C и учетные данные FTP-сервера также жестко закодированы в "Asset.exe". Это означает, что для распространения вредоносной программы объект угрозы использовал тот же номер порта и учетные данные, что и раньше.
"Asset.exe" загружает файл "NewVer.ver" с сервера обновлений и сравнивает его с файлом "LocalVer.ver" по тому же пути, чтобы проверить, не устарел ли файл. Если файл устарел, он загружает последнюю версию, установленную в "NewVer.ver", в виде сжатого файла и устанавливает его по тому же пути.
Файл "StockProForHplus2.exe" внутри загруженного сжатого файла является вредоносной программой, созданной путем добавления функции запуска к существующей программе HTS "StockProForHplus.exe". Кроме того, несмотря на то, что исходный код не может быть найден, агент угрозы, скорее всего, обладает данным исходным кодом, учитывая, что функция, включенная агентом угрозы, существует в распространяемой в настоящее время версии "StockProForHplus2.exe". Более того, собранные файлы "StockProForHplus.exe", содержащие различную PDB-информацию, делают очевидным, что исходный код HPlus в настоящее время продается или распространяется.
Помимо функций HTS, файл "StockProForHplus2.exe" в составе "HPlus_client_2.0.6.zip" содержит функцию запуска "HPlusSocketManager20221208.exe", которая является Quasar RAT. Кроме того, есть файлы, содержащие команду для добавления пути исключения в Windows Defender.
"StockProForHplus2.exe" - это пусковая установка, которая выполняет Quasar RAT, но по сути это HPlus HTS. Хотя в процессе анализа не проводилась регистрация или вход в систему, эта программа существовала и раньше, поэтому предполагается, что она будет работать как обычный HTS даже после входа в систему, чтобы обмануть пользователей.
Согласно вышеуказанным условиям и положениям, отображаемым после нажатия кнопки регистрации, предоставляются следующие услуги.
- Служба обмена информацией о производных продуктах в Корее и за ее пределами
- Поиск специалистов и аналитические стратегии производных продуктов в Корее и за ее пределами
- Форумы, группы по интересам, чат-сервис
- Услуга рассылки
- Услуга обмена информацией, связанной с финансовым рынком
- Другие
Quasar RAT
"HPlusSocketManager20221208.exe" запускает "vbc.exe" и внедряет Quasar RAT. Это делает так, что Quasar RAT работает в памяти "vbc.exe", который является нормальным процессом.
Quasar RAT - это вредоносная программа RAT с открытым исходным кодом, разработанная с использованием .NET. Как и большинство других вредоносных программ RAT, он обеспечивает выполнение системных задач, таких как процесс, файл и реестр, а также такие функции, как удаленное выполнение команд и возможность загрузки и выгрузки файлов. Кроме того, Quasar RAT предоставляет функции кейлоггинга и сбора информации об учетной записи, что позволяет красть информацию из пользовательской среды, а также дает возможность контролировать зараженные системы в режиме реального времени через удаленный рабочий стол. Таким образом, у пользователей, установивших HPlus HTS, субъект угрозы может в любой момент похитить различные личные данные, включая учетные данные.
Заключение
В прошлом мошеннические группы использовали свои частные HTS для кражи инвестиций своих жертв, но теперь они стали использоваться для установки вредоносного ПО на ПК своих жертв. В связи с этим, хотя раньше ущерб заканчивался только после похищения инвестиций своих жертв, теперь субъекты угроз могут взять под контроль ПК своих жертв и нанести дополнительный вред, установив также Quasar RAT и украв личные данные.
Согласно Службе финансового надзора, "институциональные финансовые компании не распространяют частные ВТС через такие средства, как мессенджеры." [6] Пользователи должны следить за тем, чтобы устанавливать HTS, предоставленные институциональными финансовыми компаниями, только через их официальные веб-сайты. Если частный HTS будет установлен через нелегальные инвестиционные компании, целью которых является получение прибыли, то вы можете не только потерять свои инвестиции, но и заразить свою систему вредоносной программой и украсть личные данные, сохраненные на вашей системе.
Пользователям следует применять последние исправления к установленному программному обеспечению, чтобы заранее предотвратить использование уязвимостей. Кроме того, следует обновить V3 до последней версии, чтобы предотвратить заражение вредоносным ПО.
Indicators of Compromise
IPv4 Port Combinations
- 103.136.199.131:24879
- 103.136.199.131:4449
- 103.136.199.131:4782
MD5
- 0cb69119c327ef66b1595cda3b2ce99a
- 0d6028c16b0bef0eaded10540a108fff
- 128b5f28a737838e162cfc972a8797ee
- 1b7da03bee74107fee53b27cacc52f96
- 2143f826dab2f82ec88d2de75f3ef96f
- 2258e46dc24f2c4be97aa051a05ebffd
- 2e0ec9bd44f169e86a957e0fec7d950d
- 33307a589a405cd782d738aa592f87fc
- 37b8b575c93a5e8dd2643a5d9913df02
- 3c84e468fbab273bc1d7d9bc439ddab0
- 4028da04ce0c9593c19bcc8b9c1cd14b
- 4db2078c0a7b72046fa6e68a62862508
- 4e1e6bd1655b941d78e7a6785017a260
- 508ec48d546b6c88092e8e9b05a672d2
- 5267184953c662d0fa6a4db83fe4b775
- 56961c573c78681b98c8336679202ead
- 58401b5cd964ab334ee883853520bf79
- 60eafec4ec4ec23ba602068e5a6364b8
- 6f5237ef99b4864a16f32c972fb86cdf
- 82e7624ba7b3213ccaa837d83b93307a
- 8cf9cc6a5b1b8594c9b87793754ef026
- 9174679e2f655034aa0b41774c7f54e0
- a041b5708e8a0bf36b83312cbf3c94c9
- a5750ff65c58a3fe7031cbd36ddab0ba
- a7c6f450bc567d2a0abffe2704a698d2
- a9ab7e58e79a1c586677df06dde3708f
- b50c4b4958caba46760fccb02946966b
- c2a10f5d57bb88611708312cca599e12
- c5fcd3857921ac1b95afe73e7ec8ca66
- ca50da047871d8986c4bb4044a251755
- d3f295841d4b8df890554978a4a90346
- eb921e3d6e81a020fffd84da91bf29cf
- f3335c9c4c485cf98fee7f9c03033c15
- f7e86dce64f7248aed7ef70d127f5eaf
- f9c47fb25a5dc5a3857fbb109b122d69
- fb08fa91bf71e923027e9fe88e2bbec6