غريس RAT

FlawedGrace هو اسم RAT (تهديد الوصول عن بُعد) بالكامل والذي يعد جزءًا من ترسانة التهديد لعصابة مجرمي الإنترنت ذات الدوافع المالية المتعقبة باسم TA505 (أو Hive0065). كانت المجموعة نشطة منذ عام 2014 على الأقل وهي من بين أكثر المجموعات انتشارًا حيث تُنسب إليها حملات هجوم متعددة. سمة مميزة أخرى لـ TA505 هي ميلها إلى تنفيذ تغييرات متكررة لكل من TTPs (التكتيكات والتقنيات والإجراءات) ، بالإضافة إلى أنواع تهديدات البرامج الضارة. ان الجماعة وقد لوحظ تحمل حملات البريد الإلكتروني غير المرغوبة هائلة تقديم Dridex المصرفية طروادة، قبل أن ينتقل إلى توزيع Locky و الجاف التهديدات الفدية، و TrickBot المصرفية طروادة وغيرها.

تفاصيل معيبة

كانت المرة الأولى التي اكتشف فيها باحثو إنفوسك FlawedGrace RAT في نوفمبر 2017. إنها RAT قوية مكتوبة بلغة البرمجة C ++. إنه قادر على التعرف على أوامر واردة متعددة من خادم الأوامر والتحكم المرسلة عبر بروتوكول ثنائي مخصص باستخدام المنفذ 443. يمكن توجيه التهديد لجلب وحدات تالفة إضافية ثم تحميلها وتنفيذها. يمكنه أيضًا تنزيل الملفات المختارة واستخراجها ، وجمع معلومات المستخدم الحساسة ، مثل كلمات المرور والمزيد.

في أحدث عمليات الهجوم التي نفذتها TA505 ، تم نشر نسخة محدثة من FlawedGrace RAT. بينما لا يزال التحليل الكامل للتغييرات مستمرًا ، لاحظ الباحثون حتى الآن أن التهديد يستخدم الآن سلاسل مشفرة واستدعاءات واجهة برمجة التطبيقات المبهمة. تم العثور على اختلاف آخر في طريقة تخزين التهديد لتكوينه. يتم تخزين التكوين الأولي أو الافتراضي على النظام كمورد مشفر. بعد ذلك ، يتم تقسيمها إلى قسمين - يتم وضع مثيل التكوين الحالي في منطقة الذاكرة المعينة وآلية الاستمرارية التي يتم إدخالها في سجل النظام.