Backdoorit (версия 1.1.51562578125) - это мультиплатформенный RAT, написанный на языке программирования Go и поддерживающий операционные системы Windows и Linux/Unix. Во многих местах в коде он также упоминается как backd00rit.
Backdoorit RAT
На основе внимательного изучения команды analyse-full Backdoorit avast пришли к выводу, что основной целью этой вредоносной программы является кража файлов, связанных с Minecraft, проектами Visual Studio и Intellij.
Но вредоносная программа не ограничивается только этими файлами. Некоторые команды (upload, basharchive, bashupload и так далее) позволяют ему красть произвольные файлы и информацию, устанавливать в систему другие вредоносные программы или выполнять произвольные команды (run, run-binary и так далее) и делать скриншоты действий пользователя (screenshot, ssfile и так далее).
Имеющиеся данные указывают на то, что разработчик Backdoorit не является носителем английского языка, что еще больше указывает на возможного российского участника. Комментарии и строки в коде в основном написаны на английском языке, но часто грамматически неверны. Например сообщение: "Требуется подтверждение, запустите". Также обнаружено несколько отдельных строк, написанных на русском языке.
В дополнение к вышеупомянутым строкам, среди прочего, объектом атаки являются файлы VimeWorld (российский проект, предлагающий серверы Minecraft). Это еще больше наводит нас на мысль о российском происхождении агента угроз, стоящего за этой вредоносной программой.
После запуска Backdoorit RAT получает некоторую базовую информацию о среде, такую как текущая операционная система и имя пользователя. Затем он постоянно пытается подключиться к C&C-серверу, чтобы предоставить атакующему доступ к командной оболочке.
С помощью набора функций backd00r1t_logging_* вредоносная программа регистрирует все выполненные операции и предпринятые шаги. Эти журналы могут быть загружены на сервер атакующего либо с помощью команд оболочки uploadlogs и uploadlogs-file, либо автоматически в случае возникновения исключения Go panic.
В этом случае backd00r1t_backdoor_handlePanic обрабатывает исключение и выполняет следующие действия:
Сначала он отправляет журналы на конечную точку /api/logs сервера C&C со структурой запроса JSON, как определено в функции: backd00r1t_api_SendLogs.
- Закрывает соединение с сервером C&C.
- Повторно пытается установить соединение.
Упомянутый обработчик помогает боту оставаться на связи, а также позволяет злоумышленнику удаленно следить за траекторией выполнения.
После успешного соединения с C&C атакующий получает контекстную информацию, перечисленную ниже. Функция backd00r1t_backdoor_SocketConnectionHandle отвечает за обработку всех команд, поддерживаемых этим RAT, и первый вызов backd00r1t_backdoor_printMotd для отображения такой информации:
- Время последнего подключения
- Версия Backdoorit
- Процесс
- Активные соединения
- Имя пользователя
- Дом пользователя
- Идентификатор пользователя
- Логин
- Gid
- Путь к процессу
- Состояние автозапуска модулей
Оболочка позволяет субъекту угрозы удаленно выполнять произвольные команды. Первой командой, которая, вероятно, будет выполнена, будет команда analyse-full, поскольку она генерирует файл report.txt, содержащий деревья файлов папок Desktop, Documents, Downloads, Minecraft и VimeWorld, и загружает упомянутый отчет и содержимое папок проектов Visual Studio и IntelliJ на Bashupload, веб-сервис, позволяющий загружать файлы из командной строки с ограничением хранения в 50 ГБ.
Как упоминалось ранее, если злоумышленник решит сделать это, он/она также сможет внедрить в систему другие вредоносные программы. Агент угрозы может использовать команды: run-binary (команда для загрузки и выполнения скрипта), shell (команда, позволяющая вызвать оболочку операционной системы и выполнить произвольные команды) или другие доступные команды.
Вредоносная программа также содержит своего рода "kill-switch", который может быть запущен командой exploit, но в данном случае он не просто удаляет саму вредоносную программу, а способен привести к краху операционной системы Windows, используя CVE-2021-24098, а также повредить NTFS жесткого диска через CVE-2021-28312 на уязвимых системах. Это приводит к полной потере информации о файлах (включая размер, метки времени и даты, разрешения и содержание данных), а также, разумеется, к удалению свидетельств заражения.
В оболочке реализовано еще множество команд. В состав вредоносной программы входит команда checkupdates, так что в скором времени можно ожидать появления новых версий Backdoorit.
Indicators of Compromise
SHA256
- 34366a8dab6672a6a93a56af7e27722adc9581a7066f9385cd8fd0feae64d4b0
