CetaRAT

До Mezo през Remote Administration Toolsг

Превод на:

CetaRAT е троянска заплаха за отдалечен достъп (RAT), написана с езика за програмиране C#. Основната му функция е да извършва шпионска дейност, при която събира и след това ексфилтрира чувствителни данни от компрометираните машини. Заплахата беше забелязана за първи път от общността на infosec, когато беше разгърната във все още продължаващата операция SideCopy, кампания за атака, насочена към индийските отбранителни сили и персонала на въоръжените сили. Оттогава CetaRAT разширява обхвата си и се използва в допълнителни атаки срещу индийски правителствени агенции.

Атакуваща верига

Веригата за заразяване на CetaRAT започва с разпространението на фишинг имейли, носещи въоръжен прикачен файл. Повредените прикачени файлове могат да бъдат под формата на ZIP архив, който извлича HTA файл от отдалечен URL. Изпълнението на HTA файла доставя заплахата на CetaRAT върху машината на жертвата. Досега са наблюдавани два различни метода.

В първия, след като HTA файлът е иницииран, той продължава да създава и изпълнява JavaScript файл, поставен в местоположението 'C:\ProgramData'. Сценарият е отговорен за показването на документ за примамка на нищо неподозиращата жертва, за да я отклони от факта, че полезният товар CetaRAT се изпуска на мястото на стартиране на системата. Документите за примамка обикновено съдържат информация по релевантна тема, засягаща региона и в частност Индия.

Вторият метод вижда създаването и изпълнението на пакетни файлове, пуснати в произволно именувана папка на C устройството на компрометираното устройство. Следващата стъпка е да добавите запис в системния регистър в HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, сочещ към полезния товар на CetaRAT. В този случай изпълнимият файл на заплахата се намира в папката „%AppData/Roaming%“.

Събрани данни

Преди CetaRAT да активира основната си функционалност, заплахата извършва сканиране за всички работещи AV решения и изпраща получените подробности до своя сървър за командване и управление (C2, C&C). След това започва да събира различни системни данни, включително име на компютър, IP адрес, подробности за паметта, информация за процесора, данни за ОС и др.

Когато първоначалната информация за компрометираното устройство бъде предадена, CetaRAT ще изчака допълнителни команди. Заплахата може да инструктира RAT да извлича допълнителни полезни товари и да ги изпълнява, да манипулира файловата система на жертвата, да прави произволни екранни снимки, да изпълнява произволни команди и други натрапчиви действия. Всички събрани данни се криптират с алгоритъма RC4, преди да бъдат предадени на сървъра C2.