Анализ угроз: скрытые бэкдоры и кампании с Sakura RAT на GitHub

Эксперты обнаружили скрытые угрозы в трояне Sakura RAT с открытым исходным кодом

Недавнее расследование выявило сложный вредоносный функционал в Sakura RAT — удалённом троянце с открытым исходным кодом, первоначально размещённом на GitHub. Несмотря на изначально невысокую оценку угрозы, анализ продемонстрировал, что вредоносное ПО содержит скрытые компоненты, нацеленные на самих разработчиков и пользователей, которые собирают вредоносный код. Это открытие выявило масштабную кампанию с использованием множества скомпрометированных репозиториев и сложных техник маскировки.

Скрытые компоненты и методы заражения

Sakura RAT включает в себя скрытые механизмы, которые активируются во время процесса сборки, используя файл конфигурации .vbproj. В частности, событие PreBuild задействовано для автоматической загрузки дополнительного вредоносного ПО непосредственно на устройство пользователя. Такой подход свидетельствует об изощрённом использовании бэкдора, который тщательно маскируется под законные действия разработчика.

• В качестве полезной нагрузки применяются инфокрады и другие троянцы, включая AsyncRAT и Lumma Stealer.
• Выявлено четыре типа бэкдоров с разными языками и методами: пакетные скрипты/VBS/PowerShell, Python, заставочные файлы и JavaScript.
• Каждый тип использует уникальные методы обфускации и кодирования — например, Python-скрипты применяют скрытие с помощью пробелов и встроенные ключи дешифрования.
• JavaScript-бэкдоры загружают вредоносные нагрузки из Base64-кодированных строк и выполняют их динамическую оценку.

Связь с сотнями скомпрометированных репозиториев

Расследование выявило более 140 репозиториев, связанных с разработчиком Sakura RAT. В 133 из них обнаружены аналогичные скрытые компоненты. Цепочка улик, включая повторяющиеся шаблоны кода и электронные адреса, позволила отследить этих злоумышленников, что указывает на масштабную и совместную кампанию по распространению вредоносного ПО.

Интересно, что многие из этих репозиториев позиционируются как инструменты для читинга и взлома игр, что привлекает неопытных хакеров и мошенников. Их цель — максимизировать распространение вредоносного кода через _запутывание_ и сложные цепочки заражения, делая анализ и обнаружение значительно сложнее.

Методы распространения и риски для пользователей

Точные каналы распространения остаются частично невыясненными, однако наблюдается связь с такими платформами, как Discord и YouTube, где злоумышленники распространяли ссылки на вредоносные репозитории и инструменты.

Стоит отметить, что широкое освещение в СМИ и специализированных источниках о возможностях Sakura RAT могло непреднамеренно способствовать его распространению. Пользователи, желая изучить сложность RAT, начали скачивать и компилировать вредоносный код, не подозревая о рисках.

Рекомендации и меры безопасности

• Разработчикам рекомендуется проявлять максимальную осторожность при работе с непроверенными репозиториями, особенно при компиляции и выполнении стороннего кода.
• Необходимо использовать изолированные среды (sandbox, виртуальные машины) для тестирования сомнительных программ и скриптов.
• Пользователям следует отслеживать признаки компрометации, такие как неожиданные сетевые подключения, изменение системных файлов и повышение активности процессов.
• GitHub активно принимает меры по закрытию и отправке сообщений о взломанных репозиториях с целью минимизации ущерба.

Данное расследование подчёркивает важность постоянного контроля и анализа открытого программного обеспечения, а также бдительности пользователей и специалистов в области кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.