Исследователи из Arbor Networks обнаружили нового RAT-троянца, позволяющего шпионить за пользователями. Зловред, нареченный Trochilus, также способен обходить песочницы и уже используется в целевых атаках.

По свидетельству экспертов, Trochilus является частью вредоносного комплекта, который в Arbor называют Seven Pointed Dagger («Семилезвийный кинжал»). Этот набор инструментов также включает PlugX, 9002 RAT (вариации 3102) и EvilGrab; он является основным оружием криминальной группы, которой команда Cisco Talos присвоила наименование Group 27.

Первые следы вредоносной деятельности Group 27, в частности применение PlugX, Arbor обнаружила минувшим летом. Новые зловреды, в том числе Trochilus, засветились на радарах ИБ-компании в октябре. Как и прежние находки, новоявленные вредоносные файлы были размещены на сайте избирательной комиссии Мьянмы.

По свидетельству исследователей, Trochilus почти не оставляет следов своего присутствия в системе и умело избегает обнаружения. «Это вредоносное ПО… похоже, работает лишь в памяти и не оставляет никаких отпечатков на диске, кроме зашифрованных файлов, которые не исполняются самопроизвольно и устойчивы к процессам статического детектирования вредоносных файлов и к статическому анализу», — пишет Arbor в отчете.

Все возможности RAT-троянца детализированы в файле readme, в том числе его функциональность: расширение шелл-кода, удаленная деинсталляция, менеджер файлов, загрузка и исполнение, подкачка и исполнение. Представители Arbor также отметили, что данный зловред снабжен «средствами горизонтального продвижения внутри мишени с целью расширения стратегического доступа».

В качестве плацдарма Group 27 избрала сайт избиркома Мьянмы; целевые атаки спровоцировали в основном прошлогодние парламентские выборы в этой стране — первые со времени формирования гражданского правительства (2011 год). Прошло уже два месяца после победы демократов, однако переходный период в стране еще в полном разгаре, и Arbor советует получателям электронной корреспонденции быть начеку. Trochilus и другие зловреды из арсенала Group 27 распространяются преимущественно в виде вложений в письма, к примеру в архивных файлах в формате .rar, и они наверняка продолжат атаковать симпатизирующие новым избранникам организации, в особенности те, которые поддерживают программу развития Организации Объединенных Наций (ПРООН).

Вредоносная кампания, обнаруженная Arbor, по всей видимости, является продолжением серии аналогичных атак против НКО в Юго-Восточной Азии, о которых в прошлом году докладывала канадская Citizen Lab. В тех целевых атаках также использовались некоторые из упомянутых зловредов, в частности PlugX, который раздавался посредством email-рассылок с zip-вложениями, адресованных разным группам тибетской диаспоры.

Категории: Аналитика, Вредоносные программы