网络安全公司ESET于近日发文称，他们在巴尔干地区发现了一场到目前为止仍在进行中的的活动，传播了两种具有类似目的恶意软件：一个后门和一个远控木马，分别被命名为“BalkanDoor”和“BalkanRAT”。

其中，BalkanRAT使得攻击者能够通过图形界面远程控制受感染的计算机，即手动；BalkanDoor则使得攻击者能够通过命令行控制受感染的计算机，即远程控制。

在这场活动中，攻击者使用了恶意电子邮件作为传播媒介，内容大多与税收有关，包括主题、链接和诱饵PDF文档。以此来看，攻击者显然是瞄准了目标组织的财务部门，且不排除有经济动机的可能。

此外，ESET的研究结果表明，这场活动还波及到了克罗地亚、塞尔维亚、黑山和波黑等多个国家，并且很有可能早在2016年就已经开始了。

传播过程

如上所述，BalkanRAT和BalkanDoor是通过恶意电子邮件传播的，包含在正文中的恶意链接模仿了一些官方机构的合法网站。

诱饵PDF文档都围绕了“税收”这样一个主题：

在大部分恶意电子邮件中，恶意链接都伪装成PDF文档的下载链接，然而下载的确实一个WinRAR自解压可执行文件，但使用了PDF文档的图标。解压缩后，会静默地执行BalkanRAT或BalkanDoor。

ESET表示，他们在今年捕获到了一些新的BalkanDoor样本，包含在伪装成RAR压缩文件的ACE文件中，能够利用WinRAR ACE漏洞（CVE-2018-20250）来感染目标系统，这使得它更具隐蔽性。

需要说明的是，CVE-2018-20250漏洞已经在今年的2月28日发布的WinRAR 5.70版本中被修复，且已经被频繁用于传播恶意软件。

分析-BalkanDoor

BalkanDoor是一个简单的后门，仅支持少量的命令（下载并执行文件、创建远程shell和屏幕截图），但却可以用来同时控制多台受感染的计算机。另外，自2016年以来，至少已经有6个不同的版本出现。

初始dropper负责解压缩所有组件，以及打开一个诱饵PDF（在某些情况下）并执行一个批处理安装脚本，以确保后门的持久性。

后门会将自己注册为一个看似合法的服务（例如WindowsSvc、WindowsPrnt、WindowsConn或WindowsErr），而附带的批处理脚本则能通过使用注册表开机启动项或开机启动文件夹来进一步确保持久性。

后门安装完成后，会将受感染计算机连接到C＆C服务器（硬编码列表），并请求命令。后门命令采用INI文件格式，且允许攻击者同时向多台受感染计算机发出命令，例如同时在多台受感染计算机上进行屏幕截图。

此外，后门本身可以在几种模式下执行，由执行它的命令行参数决定。这些模式本身可以作为后门命令（当从远程shell执行时）：

在BalkanDoor的众多功能中，最值得注意的是“无密码屏幕解锁”功能。在用户锁定计算机的情况下，这个功能对攻击者非常有用。

分析-BalkanRAT

相比BalkanDoor，BalkanRAT更为复杂。它的目标是在受感染计算机上安装Remote Utilities，一款由俄罗斯供应商Remote Utilities,LLC开发的一款商业软件，用于远程访问计算机或进行远程管理。

此外，BalkanRAT还有多个组件可以用来加载、安装以及隐藏Remote Utilities的窗口和托盘图标，甚至是隐藏任务管理器中的相关进程。

BalkanRAT的配置文件采用的是INI文件格式，核心组件具有多种功能（有32位和64位版本），且可以在各种模式下执行，具体由命令行参数决定。

需要说明的是，攻击者使用的并不是Remote Utilities的官方版本，而是由攻击者证书签名的恶意版本。

为了保持隐蔽性，攻击者使用了AutoHotKey脚本，并将脚本编译成了可执行文件，以便在受感染计算机没有安装AutoHotKey的情况下，也可以运行。脚本的作用只有一个，那就是隐藏Remote Utilities的托盘图标。

为了隐藏任务管理器中的相关进程，userland rootkit库被注入到配置文件中硬编码的进程中。userland rootkit将NtQuerySystemInformation函数与它被注入的进程挂钩。如果查询SystemProcessInformation，它将筛选配置文件中指定名称的进程的所有条目。如此一来，传统的任务管理器不会显示攻击者希望对用户隐藏的进程。

结论

无论是BalkanRAT，还是BalkanDoor，它们都有一些特有的功能，能够给用户的数字资产安全带来重大风险。如果将它们结合起来使用，它们将组成一种更为强大的武器。

在这场活动中，攻击者显然瞄准的是目标组织的财务部门。一旦被感染，攻击者不仅能够控制受感染的计算机，而且还可以冒充这些组织的财务部门主管进行欺诈性交易。

因此，建议大家应该谨慎对待每一封电子邮件，仔细检查它们的附件和链接，并及时对电子邮箱客户端进行更新，以及使用可靠的安全解决方案。