DarkComet被用在敘利亞衝突裡的目標攻擊

網路已經在現今的敘利亞衝突中扮演了重要角色。反對派已經更加地利用像是Facebook等平台來組織和散播他們的訊息。在另一方面,政權支持者像是「敘利亞電子軍」也試圖透過入侵網站和散播Facebook垃圾訊息來破壞這些活動。最近這場衝突已經升級到了新的層面,根據報導,針對性惡意攻擊已經被用來對付敘利亞反對派的支持者。

 

DarkComet RAT被用來當做「敘利亞間諜」

 報導中被用來攻擊的惡意軟體會透過Skype聊天室散播。一旦使用者執行了這惡意軟體,它會連到一個C&C伺服器(位於敘利亞的IP – {BLOCKED}.{BLOCKED}.0.28),它屬於分配給敘利亞電信監理機構Syrian Telecommunications Establishment)的IP網段。雖然這個惡意軟體被描述為「複雜」和「隱形」的,但實際上它是種被廣泛使用的遠端控制木馬程式(Remote Access Trojan,RAT),被稱為DarkComet。

 

趨勢科技的分析證實了之前Telecomix的調查,我們發現連到{BLOCKED}.{BLOCKED}.0.28的樣本是DarkComet遠端木馬控制程式版本3.3和5。不過有些樣本是「下載器」,會透過HTTP連到相同的IP地址來下載加密過的「UPDATE.BIN」檔案,然後加以解密和執行。之後產生的才是真正的DarkComet遠端木馬控制程式。

 

DarkComet是一種全功能的遠端控制木馬程式,可以利用網路攝影機照相,竊聽連在電腦上的麥克風談話,並且可以完全控制受感染的電腦。而最吸引人的功能是可以利用這遠端木馬控制程式來記錄鍵盤動作和傳輸檔案。這樣子就可以讓攻擊者將檔案加入受感染的電腦上,或是竊取文件。

 

DarkComet還在開發中,第五版是在去年1月15日發布。它是一個作者利用DarkCoderSc來進行開發的,在2008年首次出現。因為報導指出它被用在敘利亞事件裡,DarkComet作者在繼續開發遠端控制木馬程式的同時,也對此表示遺憾。他計劃作出DarkComet偵測器/移除器給敘利亞人民使用。

 

樣本一:直接下載DarkComet

 

CNN文章中所提到的惡意軟體帶有Facebook圖示,會透過 Skype聊天室來散播。這個被趨勢科技偵測為BKDR_ZAPCHAST.SG的樣本是DarkComet 5,會連到{BLOCKED}.{BLOCKED}.0.28的端口885 上。在我們的測試過程中,我們將測試機上的流量重新導到另一台執行DarkComet 5客戶端的機器上。正如你所見的,我們可以完全控制我們的測試機。

 

 

 

樣本二:DarkComet是第二階段的惡意軟體

 

我們拿到的另一個樣本則有不同的行為。一開始的執行檔被趨勢科技偵測為BKDR_BREUT.A,它會產生兩個執行檔。第一個檔案會秀出MAC地址轉換工具的畫面給被感染的使用者。

 

 

這是種簡單的騙局,在顯示畫面的同時,第二個執行檔會用HTTP連到{BLOCKED}.6{BLOCKED}.0.28,並且下載另一個檔案。

 

 

這其實是個早期版本的DarkComet(3.3版),它會連到{BLOCKED}.{BLOCKED}.0.28的端口778。再一次,我們將測試機的網路流量重新導到另一台執行DarkComet 3.3的測試機上。我們也再次能夠完全控制被感染的機器。

 

 

到今天為止,趨勢科技已經分析了10個連接到相同IP地址,並具備這類功能的樣本。有一些是「下載器」,它會顯示各種騙人用的圖檔(不只是MAC地址轉換工具,可以到這裡看看對其他樣本的分析報告),而這些攻擊最終都會導致遠端控制木馬程式DarkComet版本3.3或版本5。

 

從這些故事中我們了解到,可以利用被廣泛使用的DIY惡意軟體工具來做出目標攻擊。這些工具提供了所擊者所需要對目標所做的全部「複雜」功能。

 

@原文出處:DarkComet Surfaced in the Targeted Attacks in Syrian Conflict
作者:Kevin Stevens與Nart Villeneuve(資深威脅研究員)

 

 
◎ 歡迎加入趨勢科技社群網站