Плъх FlawedGrace

FlawedGrace е името на пълноправен RAT (Remote Access Threat), който е част от заплашителния арсенал на финансово мотивираната банда от киберпрестъпници, проследявани като TA505 (или Hive0065). Групата е активна поне от 2014 г. и е сред най -плодотворните, като към нея се приписват множество атакуващи кампании. Друга отличителна черта на TA505 е склонността му да прилага чести промени както в техните TTP (тактики, техники и процедури), така и в типове заплахи от злонамерен софтуер. Групата е наблюдавана извършване на масови имейл спам кампании, които осъществяват Dridex банкови троянски, преди да преминат към разпространение на Локи и Jaff заплахи рансъмуер г. TrickBot банкови троянски и др.

Подробности за FlawedGrace

Първият път, когато FlawedGrace RAT беше открит от изследователи на infosec, беше през ноември 2017 г. Това е мощен RAT, написан на езика за програмиране на C ++. Той е в състояние да разпознава множество входящи команди от сървър за управление и управление, изпратен чрез персонализиран двоичен протокол, използващ порт 443. Заплахата може да бъде инструктирана да изтегли допълнителни повредени модули и след това да ги зареди и изпълни. Той също така може да изтегля и ексфилтрира избрани файлове, да събира чувствителна потребителска информация, като пароли и др.

В последните атакуващи операции, извършени от TA505, беше внедрена актуализирана версия на FlawedGrace RAT. Докато пълният анализ на промените все още продължава, досега изследователите са забелязали, че заплахата сега използва криптирани низове и объркани API извиквания. Друга разлика беше открита в начина, по който заплахата съхранява конфигурацията си. Първоначалната конфигурация или конфигурацията по подразбиране се съхранява в системата като криптиран ресурс. След това той се разделя на две - текущ конфигурационен екземпляр, поставен в картографирана област на паметта, и механизъм за устойчивост, инжектиран в системния регистър.