Эксперты обнаружили скрытые угрозы в трояне Sakura RAT с открытым исходным кодом
Недавнее расследование выявило сложный вредоносный функционал в Sakura RAT — удалённом троянце с открытым исходным кодом, первоначально размещённом на GitHub. Несмотря на изначально невысокую оценку угрозы, анализ продемонстрировал, что вредоносное ПО содержит скрытые компоненты, нацеленные на самих разработчиков и пользователей, которые собирают вредоносный код. Это открытие выявило масштабную кампанию с использованием множества скомпрометированных репозиториев и сложных техник маскировки.
Скрытые компоненты и методы заражения
Sakura RAT включает в себя скрытые механизмы, которые активируются во время процесса сборки, используя файл конфигурации .vbproj. В частности, событие PreBuild задействовано для автоматической загрузки дополнительного вредоносного ПО непосредственно на устройство пользователя. Такой подход свидетельствует об изощрённом использовании бэкдора, который тщательно маскируется под законные действия разработчика.
- В качестве полезной нагрузки применяются инфокрады и другие троянцы, включая AsyncRAT и Lumma Stealer.
- Выявлено четыре типа бэкдоров с разными языками и методами: пакетные скрипты/VBS/PowerShell, Python, заставочные файлы и JavaScript.
- Каждый тип использует уникальные методы обфускации и кодирования — например, Python-скрипты применяют скрытие с помощью пробелов и встроенные ключи дешифрования.
- JavaScript-бэкдоры загружают вредоносные нагрузки из Base64-кодированных строк и выполняют их динамическую оценку.
Связь с сотнями скомпрометированных репозиториев
Расследование выявило более 140 репозиториев, связанных с разработчиком Sakura RAT. В 133 из них обнаружены аналогичные скрытые компоненты. Цепочка улик, включая повторяющиеся шаблоны кода и электронные адреса, позволила отследить этих злоумышленников, что указывает на масштабную и совместную кампанию по распространению вредоносного ПО.
Интересно, что многие из этих репозиториев позиционируются как инструменты для читинга и взлома игр, что привлекает неопытных хакеров и мошенников. Их цель — максимизировать распространение вредоносного кода через _запутывание_ и сложные цепочки заражения, делая анализ и обнаружение значительно сложнее.
Методы распространения и риски для пользователей
Точные каналы распространения остаются частично невыясненными, однако наблюдается связь с такими платформами, как Discord и YouTube, где злоумышленники распространяли ссылки на вредоносные репозитории и инструменты.
Стоит отметить, что широкое освещение в СМИ и специализированных источниках о возможностях Sakura RAT могло непреднамеренно способствовать его распространению. Пользователи, желая изучить сложность RAT, начали скачивать и компилировать вредоносный код, не подозревая о рисках.
Рекомендации и меры безопасности
- Разработчикам рекомендуется проявлять максимальную осторожность при работе с непроверенными репозиториями, особенно при компиляции и выполнении стороннего кода.
- Необходимо использовать изолированные среды (sandbox, виртуальные машины) для тестирования сомнительных программ и скриптов.
- Пользователям следует отслеживать признаки компрометации, такие как неожиданные сетевые подключения, изменение системных файлов и повышение активности процессов.
- GitHub активно принимает меры по закрытию и отправке сообщений о взломанных репозиториях с целью минимизации ущерба.
Данное расследование подчёркивает важность постоянного контроля и анализа открытого программного обеспечения, а также бдительности пользователей и специалистов в области кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ угроз: скрытые бэкдоры и кампании с Sakura RAT на GitHub".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.