تراخيص الأجهزة المتعددة (خصومات كبيرة)
Threat Database Remote Administration Tools سيترات

سيترات

بواسطة Mezo في Remote Administration Tools
ترجمة الى:
العربية

CetaRAT هو تهديد طروادة للوصول عن بعد (RAT) مكتوب باستخدام لغة البرمجة C #. وتتمثل مهمتها الرئيسية في القيام بأنشطة تجسس حيث تقوم بحصاد ثم تسريب البيانات الحساسة من الأجهزة المخترقة. لاحظ مجتمع إنفوسيك هذا التهديد لأول مرة عندما تم نشره في عملية SideCopy المستمرة ، وهي حملة هجومية تستهدف قوات الدفاع الهندية وأفراد القوات المسلحة. منذ ذلك الحين ، تعمل CetaRAT على توسيع نطاق وصولها والاستفادة منها في هجمات إضافية ضد الوكالات الحكومية الهندية.

سلسلة الهجوم

تبدأ سلسلة عدوى CetaRAT بتوزيع رسائل التصيد الاحتيالي بالرمح التي تحمل مرفقًا مسلحًا. يمكن أن تأخذ المرفقات التالفة شكل أرشيف مضغوط يجلب ملف HTA من عنوان URL بعيد. يؤدي تنفيذ ملف HTA إلى تسليم تهديد CetaRAT لجهاز الضحية. حتى الآن تم ملاحظة طريقتين مختلفتين.

في الملف الأول ، بعد بدء تشغيل ملف HTA ، يشرع في إنشاء وتنفيذ ملف JavaScript موضوع في موقع 'C: \ ProgramData'. البرنامج النصي مسؤول عن إظهار مستند شرك للضحية المطمئنة لإلهائه عن حقيقة أن حمولة CetaRAT يتم إسقاطها في موقع بدء تشغيل النظام. عادة ما تحمل وثائق شرك المعلومات حول موضوع ذي صلة يتعلق بالمنطقة والهند على وجه الخصوص.

الطريقة الثانية ترى إنشاء وتنفيذ الملفات الدفعية التي تم إسقاطها في مجلد باسم عشوائي على محرك الأقراص C للجهاز المخترق. الخطوة التالية هي إضافة إدخال التسجيل في HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run للإشارة إلى حمولة CetaRAT. في هذه الحالة ، يوجد الملف القابل للتنفيذ الخاص بالتهديد في المجلد "٪ AppData / Roaming٪".

البيانات التي تم جمعها

قبل أن تقوم CetaRAT بتنشيط وظائفها الرئيسية ، يقوم التهديد بإجراء مسح لجميع حلول AV قيد التشغيل ويرسل التفاصيل المكتسبة إلى خادم Command-an-Control (C2 ، C & C) الخاص به. بعد ذلك ، يبدأ في جمع تفاصيل النظام المختلفة ، بما في ذلك اسم الكمبيوتر وعنوان IP وتفاصيل الذاكرة ومعلومات المعالج وبيانات نظام التشغيل والمزيد.

عندما يتم إرسال المعلومات الأولية حول الجهاز المخترق ، ستنتظر CetaRAT أوامر إضافية. يمكن لممثل التهديد أن يوجه RAT لجلب الحمولات الإضافية وتنفيذها ، والتعامل مع نظام ملفات الضحية ، والتقاط لقطات شاشة عشوائية ، وتنفيذ أوامر تعسفية وإجراءات تدخلية أخرى. يتم تشفير جميع البيانات المحصودة باستخدام خوارزمية RC4 قبل إرسالها إلى خادم C2.

الشائع

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

Phishing, Spam
15,356
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...