Orcus RAT

Orcus - это модульный троянец удаленного доступа с необычными функциями. Этот RAT позволяет злоумышленникам создавать плагины с помощью пользовательской библиотеки разработки и предлагает надежный набор основных функций, что делает его одной из самых опасных вредоносных программ в своем классе.

Также известен как

  • Schnorchel

Что такое Orcus RAT?

Orcus, ранее известный как Schnorchel, является троянцем удаленного доступа, который позволяет удаленно управлять зараженными системами. Хотя вредоносная программа Orcus RAT в основном является типичным представителем семейства RAT, она имеет некоторые конкурентные преимущества перед аналогичными вредоносными программами и уникальные особенности.

Кроме того, Orcus RAT имеет модульную структуру, и это дает пользователям возможность создавать пользовательские плагины для вредоносной программы. Модульность этого троянца обеспечивает ему более высокую, чем обычно, масштабируемость и управляемость, позволяя адаптировать вредоносную программу к потребностям различных кампаний.

Впервые об этой вредоносной программе мы узнали из сообщения на форуме одного из ее авторов. В сообщении сообщалось о разработке нового RAT, который в то время назывался Schnorchel. Вскоре после анонса вредоносная программа стала коммерчески доступной под названием "Orcus RAT" и была представлена общественности как легальное программное обеспечение для удаленного администрирования, аналогичное Teamviewer. Интересно, что авторы утверждали, что аббревиатура RAT означает Remote Administration Tool, а не Remote Access Trojan.

Общее описание Orcus RAT

За некоторыми исключениями, вредоносная программа Orcus RAT обладает относительно стандартным, но надежным набором функций для технологически продвинутого троянца удаленного доступа. Вредоносная программа может делать скриншоты и записывать пользовательский ввод, активировать веб-камеру, красть пароли, записывать звук и красть информацию. Кроме того, Orcus обладает способностью определять, запускается ли он на виртуальной машине, что усложняет анализ исследователями безопасности.

Описанные выше функции уже делают эту вредоносную программу довольно способной. Однако она предлагает несколько необычных функций, которые расширяют ее функциональность. А именно, данная RAT поддерживает плагины, и помимо возможности их создания, она имеет целую библиотеку уже созданных плагинов, из которых злоумышленники могут выбирать. Более того, плагины для Orcus RAT могут быть написаны на нескольких языках, включая C#, C++ и VB.Net.

Чтобы сделать разработку расширений более упрощенной, создатели вредоносного ПО развернули специальную среду разработки. Более того, те, кому не хватает навыков самостоятельного создания плагинов с нуля, могут следовать подробным руководствам и пользоваться хорошо поддерживаемыми библиотеками документации.

Кроме того, у Orcus была страница на Github, где авторы публиковали образцы созданных плагинов.

Еще одна относительно уникальная функция, которую авторы вредоносной программы вложили в этот вирус, - это создание сценариев в реальном времени. Сценарии реального времени позволяют Orcus писать и выполнять код на зараженных им машинах.

Если говорить об авторах вредоносной программы Orcus RAT, то известно, что вирус был разработан 36-летним Джоном Ревесом, также известным под ником "Армада" на подпольных форумах. В 2019 году канадские власти обвинили Ревеша в работе международной схемы распространения вредоносного ПО.

В свою защиту Ревеш утверждал, что RAT, по сути, является легитимной программой для удаленного администрирования, а его компания "Orcus Technologies" - легальный бизнес. Однако изучение функциональности программы ясно показало, что она предназначена для вредоносного использования, что и привело к аресту Ревеша.

Предполагается, что Ревеш работал не в одиночку. Поэтому теория совместной разработки имеет смысл, особенно учитывая технологическую сложность некоторых аспектов этой вредоносной программы. Например, Orcus RAT состоит из нескольких компонентов, причем панель управления является отдельным компонентом. Кроме того, сервер, с которым вредоносная программа устанавливает соединение после заражения, не содержит панели администратора. Такая архитектура дает злоумышленникам ряд преимуществ, например, возможность совместного доступа к зараженным ПК с одного и того же сервера. Кроме того, она позволяет увеличить масштабируемость зараженных сетей.

Процесс выполнения Orcus RAT

Процесс выполнения Orcus RAT прост. Эта вредоносная программа часто маскируется под чит-код или кряк, поэтому чаще всего она доставляется в систему в виде архивного файла со сжатым исполняемым файлом внутри. Поскольку этот троян написан на языке C#, он часто использует инфраструктуру .NET, доступную в Windows. Для компиляции исходного кода на C# образец запускал компилятор Visual C#, который, в свою очередь, запускал утилиту преобразования файлов ресурсов в объекты COFF. После компиляции исполняемый файл начинал свое выполнение и вредоносную активность. Обратите внимание, что инструмент удаленного доступа Orcus не всегда попадает в зараженную систему, как описано выше. В некоторых случаях он поставляется в виде предварительно скомпилированного исполняемого файла, для запуска которого пользователю достаточно дважды щелкнуть по нему мышью.

Распространение вредоносной программы Orcus RAT

Orcus RAT обычно попадает на целевые машины в виде загружаемого вложения во вредоносных спам-письмах. Кампании часто носят узконаправленный характер и направлены скорее на организации, чем на отдельных людей.

Злоумышленники используют фишинг и социальную инженерию, чтобы убедить жертву загрузить вложение или перейти по ссылке, указывающей на сервер, содержащий полезную нагрузку. Для того чтобы начать выполнение, Orcus требует ввода данных пользователем. Однако в большинстве случаев он не способен заразить систему без участия пользователя.

Заключение

Вредоносная программа Orcus RAT - это сложный троян, который предлагает несколько необычных функций в дополнение к солидным базовым возможностям кражи информации. Техническая сложность дополняется доступной ценой - всего 40 долларов США. Сегодня заинтересованные пользователи могут скачать утечку версии Orcus бесплатно. К сожалению, это, наряду с отличной поддержкой и документацией, обеспечило популярность Orcus RAT.

С момента его развертывания в 2016 году исследователи наблюдали за кампаниями Orcus RAT, и популярность этого вредоносного ПО все еще растет. В результате в будущем мы можем ожидать несколько новых атак с использованием вредоносного ПО.

Поделиться с друзьями
SEC-1275-1