PY#RATION RAT

Kempen serangan baru telah ditangkap di alam liar. Operasi mengancam menggunakan perisian hasad baru berasaskan Python yang digelar PY#RATION RAT. Seperti yang biasa berlaku dengan Trojan Akses Jauh (RAT), PY#RATION mempunyai set komprehensif keupayaan berbahaya, termasuk exfiltration data dan keylogging. Apa yang menjadikan ancaman ini sangat unik ialah penggunaan WebSocket untuk kedua-dua komunikasi Command-and-Control (C2, C&C) dan exfiltration, serta keupayaannya untuk mengelak pengesanan daripada penyelesaian anti-malware dan langkah keselamatan rangkaian.

Butiran tentang PY#RATION RAT telah didedahkan dalam laporan oleh penyelidik keselamatan siber. Menurut penemuan mereka, penjenayah siber di sebalik ancaman itu kebanyakannya tertumpu pada sasaran di UK atau Amerika Utara, berdasarkan gewang pancingan data yang digunakan sebagai sebahagian daripada serangan itu.

Rantaian Serangan PY#RATION

Serangan bermula dengan e-mel pancingan data menipu yang mengandungi arkib ZIP. Di dalam arkib terdapat dua fail pintasan (.LNK), menyamar sebagai imej hadapan dan belakang lesen memandu UK yang kononnya tulen. Selepas membuka setiap fail .LNK ini, dua fail teks diambil dari pelayan jauh dan kemudian disimpan sebagai fail .BAT.

Semasa mangsa ditunjukkan imej umpan, fail berbahaya dilaksanakan secara senyap di latar belakang sistem. Selain itu, skrip kelompok lain dimuat turun daripada pelayan C2 yang memperoleh muatan lain, termasuk binari Python bernama 'CortanaAssistance.exe.' Penggunaan Cortana, pembantu maya Microsoft, membayangkan bahawa penyerang mungkin telah cuba untuk menyamarkan kod rosak mereka sebagai fail sistem yang sah.

Keupayaan Mencederakan RAT PY#RATION

Dua versi PY#RATION Trojan telah dikesan (versi 1.0 dan 1.6). Versi yang lebih baharu termasuk hampir 1,000 baris kod tambahan, yang menambahkan ciri pengimbasan rangkaian untuk memeriksa rangkaian yang terjejas dan lapisan penyulitan ke atas kod Python menggunakan modul fernet. Di samping itu, ancaman boleh memindahkan fail dari hos yang dilanggar ke pelayan C2nya dan sebaliknya.

RAT boleh mula merekod ketukan kekunci, melaksanakan perintah sistem, mengekstrak kata laluan dan kuki daripada pelayar Web, menangkap data papan keratan dan mengesan kehadiran perisian keselamatan. Aktor ancaman boleh menggunakan PY#RATION sebagai pintu masuk untuk menggunakan muatan ancaman lain, seperti satu lagi pencuri maklumat berasaskan Python yang dicipta secara eksplisit untuk menuai data daripada penyemak imbas Web dan dompet mata wang kripto.