HackerNews.cc 11 月 30 日消息，网络安全公司 Palo Alto Networks 研究人员于近期发现一款新型远程访问木马 UBoatRAT，旨在瞄准与韩国视频、游戏行业相关的人员或组织展开针对性网络攻击活动。

调查显示，UBoatRAT 最早于 2017 年 5 月由 Unit 42 安全专家发现。当时，黑客仅仅利用了一个简单的 HTTP 后门并通过香港与日本受损 Web 服务器分发该恶意软件、感染目标 C&C 服务器。随后，UBoatRAT 不断进化，其变种愈加复杂，现主要采用 Google Drive 作为恶意软件分发中心，并使用连接至 GitHub 存储库的 URL 作为重定向 C&C 服务器地址。此外，UBoatRAT 还利用 Microsoft Windows 后台智能传输服务（BITS）保持持久性能。

BITS 是一种用于机器之间传输文件的 Microsoft 服务，以 Windows Update 与第三方软件应用更新而广为人知，其最早可追溯至 2007 年。甚至今天，BITS 仍是黑客最受欢迎的一款服务，因为该服务的 Windows 组件包括使用应用程序获得主机防火墙信任，以便检索或上传任意文件。去年，研究人员发现黑客使用 BITS “通知” 功能传播恶意软件并保持系统持久性能。

研究人员表示，黑客正使用 BITS 二进制 Bitsadmin.exe 文件作为命令行工具创建与监视 BITS 操作。而该恶意软件主要提供了一个选项 /SetNotifyCmdLine，在操作完成数据传输或出错时执行另一程序，以确保恶意代码持续运行（即使系统重启）。不过黑客主要还是通过托管在 Google Drive 上的可执行文件或 Zip 文件分发 UBoatRAT。如果该文件被目标用户打开后，其系统将会自动下载恶意软件并通过检查机器是否为 Active Directory 域的一部分来尝试确定目标系统是大型企业网络还是家用 PC 端口。此外，该恶意软件也被用于检测虚拟化软件（如 VMWare、VirtualBox、QEmu），一旦发现身处虚拟系统，该恶意软件会立即中断执行并试图从网络参数中获取域名，遇上不够理想的主机条件，则会生成各种伪造的 Windows 系统错误消息并退出。

目前，虽然研究人员尚不清楚黑客确切目标，但由于其可执行文件内容与韩国游戏公司、名称，以及视频游戏行业中使用的一些词汇有关，因此他们推测其目标疑似韩国视频、游戏行业的相关人员或组织。近期，研究人员已确定 14 个 UBoatRAT 样本，以及一个与其攻击有关的下载设备。此外，尽管最新版本的 UBoatRAT 于 9 月发布，但其攻击者于 10 月仍在 GitHub 上使用 “elsa999” 账号持续更新，因此研究人员推测该恶意软件幕后黑手似乎正大力开发或测试威胁。

(责任编辑：冬天的宇)