Атропозия ПЛЪХ
Atroposia е комерсиално търгуван троянски кон за отдалечен достъп (RAT), предлаган на пазара в подземни форуми. Той предоставя на своите оператори дълбок, скрит контрол над компрометирани машини и богат набор от инструменти за кражба на данни, манипулиране на мрежовото поведение и сондиране на системи за допълнителни слабости. Поради широките си възможности и функции за избягване, всяко потвърдено наличие на Atroposia на устройство изисква незабавно премахване.
Заплахата от зловреден софтуер се предлага на потенциални „клиенти“ в три нива на плащане:
Месечен наем: $200
Тримесечно: 500 долара (три месеца)
Полугодишно: 900 долара (шест месеца)
Съдържание
Стелт, постоянство и команден канал
Atroposia е създадена да остане скрита. Тя може автоматично да повишава привилегиите (заобикаляйки UAC), използва множество техники за персистентност, така че да оцелее след рестартирания, и е проектирана да избягва антивирусното откриване. Комуникацията ѝ със сървърите за командване и контрол на оператора е криптирана, а контролен панел в уеб стил опростява изпълнението на злонамерени задачи дори за средно опитни престъпници.
Скрито дистанционно управление и работа с файлове
Характерна черта на атаката е скрит компонент за отдалечен работен плот (наричан по-долу „HRDP Connect“), който отваря невидима сесия на машината на жертвата, така че отдалечен участник може да взаимодейства с работния плот без видими знаци за потребителя. В допълнение към това, Atroposia включва файлов мениджър, който позволява на нападателите да преглеждат дискове и папки, да търсят файлове, да ги изтеглят, изтриват или изпълняват дистанционно.
Масово събиране и дискретно опаковане
RAT съдържа грабер, който търси файлове по разширение или ключова дума и групира съвпаденията в защитен с парола ZIP файл. Той може да сглобява и пакетира данни изцяло в паметта или да разчита на вградени системни помощни програми, като по този начин минимизира остатъчните артефакти на диска и усложнява криминалистичното откриване.
Възможности за кражба на идентификационни данни и портфейли
Модулът за кражба на данни на Atroposia събира широк набор от чувствителни материали: запазени пароли за браузър, идентификационни данни от бизнес приложения и VPN клиенти, данни от програми за съобщения, данни за мениджъри на пароли, където има такива, и информация за портфейли с криптовалута. Той също така улавя съдържанието на клипборда (всичко, което потребителят копира или изрязва), регистрира и съхранява тези записи. Може дори да презапише съдържанието на клипборда, за да замени копираните адреси на портфейли или идентификационни данни – техника, полезна за кражба на средства или отвличане на акаунти.
Манипулация на мрежата и отвличане на DNS
Зловредният софтуер може да промени DNS настройките или по друг начин да прихваща търсенията на имена, така че браузърът на жертвата да бъде тихомълком пренасочен към контролирани от нападателя измамнически сайтове (например фалшиви страници за вход). Тъй като браузърът все още може да показва очаквания URL адрес, жертвите могат да бъдат подведени да въведат идентификационни данни, докато си мислят, че са на легитимен сайт.
Сканиране за уязвимости и възможности за ескалация
Atroposia включва скенер, който проверява заразения хост за липсващи корекции, слаби конфигурации и остарял софтуер. В корпоративни среди това може да разкрие ценни цели – некоригирани VPN клиенти, грешки с ескалация на привилегии или други експозиции – които атакуващите след това използват, за да разширят достъпа в мрежата.
Системна телеметрия и помощни програми за дистанционно управление
Освен кражба на данни и отдалечен работен плот, RAT събира системни метаданни (IP адреси, версия на операционната система, геолокация и други подробности за средата), може да изброява и управлява изпълняваните процеси и поддържа отдалечени операции за изключване и рестартиране. Комплектът инструменти включва и допълнителни помощни програми с по-малко въздействие, които заедно осигуряват широка оперативна гъвкавост.
Как обикновено се случват инфекциите
Злонамерени или въоръжени документи (например заразени PDF файлове или други прикачени файлове, разпространявани по имейл)
Пакети за софтуерно пиратство, експлойти за директни атаки, нелоялни реклами, фалшиви схеми за техническа поддръжка, P2P/споделени файлове, подвеждащи сайтове за изтегляне, инсталатори на трети страни и подобни канали
Защо тези методи за доставка са успешни: нападателите разчитат на социално инженерство (фалшиви документи, примамливи изтегляния или заявки за стартиране на файлове) или на злоупотреба с уязвимости и измамни инсталатори — повечето инфекции се случват, когато потребителят бъде подмамен да изпълни зловреден софтуер.
Обобщение на въздействието
Atroposia позволява цялостно извличане на данни (файлове, идентификационни данни, данни от клипборда, крипто портфейли), скрито дистанционно управление, пренасочване на мрежата чрез манипулиране на DNS и разузнаване за по-нататъшна експлоатация. Нейната скрита архитектура (ескалация на привилегии, постоянство, пакетиране в паметта, криптиран C2 и скрити отдалечени сесии) я прави особено опасна както за отделни лица, така и за организации.
Незабавен отговор
Ако има съмнение за Atroposia или тя е открита в системата, изключете устройството от мрежите, запазете лог файловете за анализ, ако е възможно, и премахнете зловредния софтуер възможно най-скоро. Тъй като операторите могат да използват събрани идентификационни данни и странични маршрути, третирайте всяко компрометиране като потенциално широко разпространено и обмислете ротация на пароли, отмяна на токени и извършване на по-широко вътрешно разследване.
