Լաչինի միջանցքի շուրջ Հայաստանի եւ Ադրբեջանի միջեւ աճող լարվածության ֆոնին 2022 թվականի վերջին Check Point Research-ը Հայաստանում կազմակերպությունների դեմ վնասակար արշավ է հայտնաբերել։ Վնասակար ծրագրային ապահովումը, որը տարածվել է այդ արշավի շրջանակում, իրենից ներկայացնում է բեքդորի նոր տարբերակ, որին մենք հետեւում ենք որպես OxtaRAT, AutoIt-ի վրա հիմնված գործիք՝ հեռավար մուտքի եւ աշխատասեղանի դիտարկման համար, հաղորդում է research.checkpoint.com-ը։ OxtaRAT-ի նորագույն տարբերակն իրենից ներկայացնում է պոլիգլոտ ֆայլ, որը համատեղում է AutoIT սկրիպտը եւ պատկերը։

Գործիքի առանձնահատկությունները ներառում են վարակված սարքից ֆայլերի որոնում եւ բեռնում, վեբ տեսախցիկից եւ աշխատասեղանից տեսանյութերի ձայնագրում, վարակված սարքի հեռակա կառավարում TightVNC-ի միջոցով, վեբ շրջանակի տեղադրում եւ այլն:

AutoIT-ը օրինական գործիք է, որն օգտագործվում է շատ OT-ադմինիստրատորների կողմից առաջադրանքներն ավտոմատացնելու համար, բայց հաճախ չարաշահվում է սպառնալիքի սուբյեկտների կողմից: Այս դեպքում չարագործներն օգտագործում են լիարժեք ֆունկցիոնալ բեքդոր, որը պարունակում է AutoIt օբֆուսկացված կոդի մոտ 20 000 տող։

«Իրավիճակն Արցախում լարված է՝ հրադադարի ռեժիմի հաճախակի խախտումներով եւ բռնության պարբերական բռնկումներով։ Ավելի քան երկու տասնամյակ այս չլուծված էթնո-ազգայնական տարածքային հակամարտությունը ռազմականացման բարձր աստիճանով շարունակում է մնալ Հայաստանի եւ Ադրբեջանի միջեւ լարվածության աղբյուր»,-նշում են հեղինակները։ Վնասակար ֆայլը, որը կոչվում է Israeli_NO_thanks_Artsakh_bank_for_the_support_of.scr -, ներկայացվել է VirusTotal-ում (VT) 2022 թվականի նոյեմբերի 29-ին IP հասցեից, որը գտնվում է Երեւանում։ Սա ինքնաքանդվող արխիվ է, որը ներկայացված է որպես PDF ֆայլ եւ ունի PDF տարբերանշան։ Կատարելուց հետո այն տեղափոխվում է վարակված սարքի Temp թղթապանակ եւ գործարկում է ինքնաքանդվող ֆայլը, որը կոչվում է Alexander_Lapshin․EXE։ Այն, իր հերթին, վերականգնում է մի քանի լրացուցիչ ֆայլեր եւ գործարկում դրանցից մեկը՝ exec․bat սցենարը։  

Իր դեօբֆուսկացված ձեւով այս սկրիպտը շատ կարճ է՝

@echo off

xcopy /y /e /k /h /i * %appdata%\Autoit3\

copy /b /y %appdata%\Autoit3\Alexander_Lapshin.pdf %temp%\

գործարկել %temp%\Alexander_Lapshin.pdf

գործարկել %appdata%\Autoit3\Autoit3.exe %appdata%\Autoit3\icon.png

exit 

exec.bat ֆայլը պատասխանում է PDF բացման համար, որը պարունակում է Ալեքսանդր Լապշինի մասին հոդված վիքիպեդիայում։ Միեւնույն ժամանակ, ֆոնային ռեժիմում այն կրկնում է մի քանի օժանդակ ֆայլեր եւ AutoIt՝ %appdata%\Autoit3\-ում, եւ օգտագործում է դրանք՝ AutoIt վնասակար կոդի կատարման համր, որը թաքնված է icon.png անվան տակ պատկերի ներսում։ 

Ռուս-իսրայելցի թրեվել-բլոգեր, լրագրող եւ իրավապաշտպան Ալեքսանդր Լապշինը ձերբակալվել է Բելառուսում 2016 թվականին եւ արտահանձնվել Ադրբեջանին։ Նա դատապարտվել է 3 տարվա ազատազրկման՝ առանց Ադրբեջանի իշխանությունների թույլտվության 2011 եւ 2012 թվականներին Հայաստանից Լեռնային Ղարաբաղ այցելության ժամանակ, Ադրբեջանի միջազգայնորեն ճանաչված սահմաններն ապօրինի հատելու համար։  Բանտարկությունից ինն ամիս անց՝ 2017 թվականի սեպտեմբերին, Լապշինը հարձակման էր ենթարկվել Բաքվի քննչական մեկուսարանի մենախցում։  Ադրբեջանի պաշտոնական իշխանությունները հրապարակայնորեն այս հարձակումն անվանել են  ինքնասպանության փորձ։ Դրանից հետո նրան ներում է շնորհվել Ադրբեջանի նախագահի կողմից, նա  արտաքսվել է Իսրայել։ 2021 թվականին Մարդու իրավունքների Եվրոպական դատարանը «Լապշինն ընդդեմ Ադրբեջանի» գործով վճռել է, որ Լապշինի կյանքի իրավունքը խախտվել է Ադրբեջանի իշխանությունների կողմից եւ պարտավորեցրել Ադրբեջանին 30 000 եվրո փոխհատուցում վճարել։ Դատավճռի հրապարակումից հետո Լապշինը հրապարակայնորեն հրապարակել է վարկային քարտի լուսանկարը, որը նա բացել է հայկական Արցախբանկի կողմից տրված փոխհատուցումը ստանալու համար։ Հավանաբար, այս միջադեպը Լապշինի անունը գրավիչ է դարձրել բանկի վրա հարձակված չարագործների համար։   

OxtaRAT-ի նախորդ տարբերակները օգտագործվել են ավելի վաղ ադրբեջանական քաղաքական եւ իրավապաշտպան ակտիվիստների վրա հարձակումների ժամանակ, կամ երբ թիրախները հրապարակայնորեն չեն բացահայտվել, նրանց խայծերը վկայակոչել են Արցախի շուրջ Ադրբեջանի եւ Հայաստանի միջեւ լարվածությունը։ OxtaRAT-ի հին տարբերակները զգալիորեն ավելի քիչ ֆունկցիոնալություն ունեն, քան նոր տարբերակը, բայց պարունակում են նմանատիպ կոդ եւ հրահանգների մեծ մասի անուններ եւ C&C-ի հետ կապի նույն սխեման։ 2021 թվականի հուլիսին Qurium Media-ն հայտնել է, որ Ադրբեջանում մի քանի նշանավոր իրավապաշտպաններ եւ քաղաքական ակտիվիստներ ստացել են նպատակային ֆիշինգային էլեկտրոնային նամակներ, որոնք գայթակղել են նրանց ներբեռնել չարամիտ ծրագիրը Google Drive-ի հղմամբ։ Հղումը տանում էր դեպի RAR արխիվ, գաղտնաբառը նշված էր նամակում։ Արխիվը, իր հերթին, պարունակում էր Auto-IT ֆայլ՝  Human Rights Invoice Form Document -2021.exe անվանումով։ Կատարման ժամանակ այն C&C-ից ներբեռնում էր shoesbuysellone[.]live հիմնական վնասակար ծրագիր Auto-IT (md5: 0360185bc6371ae42ca0dffe0a21455d)։  Չնայած այն չի պարունակում «գործակալի տարբերակ» կոդավորված համար, դա  OxtaRAT-ի ավելի վաղ տարբերակն է: Այն ունի շատ նման ֆունկցիոնալություն եւ կոդ, բայց աջակցում է ավելի քիչ թվով հրահանգներ։  

Անցած տարվա վերջին Qurium-ը տեղեկացրել էր եւս մեկ գրոհի մասին, այս անգամ՝ ադրբեջանցի քաղաքական ակտիվիստ Աբուլֆազ Գուրբանլիի դեմ։ Չարագործները ներկայացել են որպես BBC-ի լրագրողներ եւ, ինչպես 2021թ. հունիսի գրոհները, զոհին նամակ են ուղարկել, որը հղում է պարունակել Google Drive-ին, որը նշում էր գաղտնաբառով պաշտպանված RAR-արխիվ՝ BBC-suallar.rar անվանմամբ («BBC-ի հարցեր»)։ Եվ նորից հանվել է AutoIT ֆայլը՝ suallar.scr անվանմամբ։ Այս անգամ քողարկվել է Word փաստաթղթով, որն ունեցել է Word նշան։ Կատարումից հետո այն ներկայացրել է գայթակղիչ DOC-ֆայլ՝ smm-fraza.doc անվանմամբ։

Ֆոնային ռեժիմով C&C-սերվերից ներբեռնվել է https://smartappsfoursix[.]xyz/wp-feed.php եւ գործի է դրվել այլ տարբերակ՝ OxtaRAT։ Սա ավելի առաջավոր տարբերակ է՝ 2021թ. գրոհների համեմատ, դրանում ավելացվել են բազմաթիվ լրացուցիչ հրահանգներ։

«Այս եւ նախորդ գործողությունների բոլոր նմուշները կապված են Ադրբեջանի կառավարության շահերի հետ. դրանք կամ ուղղված են ադրեջանցի քաղաքական եւ իրավապաշտպան ակտիվիստների դեմ, կամ, եթե նպատակները հրապարակայնորեն չեն բացահայտվել, վկայակոչում են Ադրբեջանի եւ Հայաստանի միջեւ լարված հարաբերություններն Արցախի առիթով»,- նշվել է հոդվածում։