Atroposia RAT
Atroposia je komerčně obchodovaný trojský kůň pro vzdálený přístup (RAT) prodávaný na ilegálních fórech. Svým operátorům poskytuje hlubokou a nenápadnou kontrolu nad napadenými počítači a bohatou sadu nástrojů pro krádež dat, manipulaci s chováním sítě a zkoumání systémů na další slabiny. Vzhledem k jeho širokým možnostem a funkcím pro únik je nutné jakoukoli potvrzenou přítomnost viru Atroposia na zařízení okamžitě odstranit.
Hrozba malwaru je potenciálním „zákazníkům“ nabízena ve třech platebních úrovních:
Měsíční nájemné: 200 dolarů
Čtvrtletně: 500 USD (tři měsíce)
Pololetní: 900 USD (šest měsíců)
Obsah
Nenápadnost, vytrvalost a velitelský kanál
Atroposia je navržena tak, aby zůstala skrytá. Dokáže automaticky eskalovat oprávnění (obejít UAC), využívá několik technik perzistence, aby přežila restartování, a je navržena tak, aby se vyhnula detekci antivirem. Její komunikace s operátorskými velitelskými servery je šifrovaná a webový ovládací panel zjednodušuje provádění škodlivých úkolů i pro středně zkušené zločince.
Skryté dálkové ovládání a manipulace se soubory
Charakteristickým prvkem je skrytá komponenta pro vzdálenou plochu (prodávaná jako „HRDP Connect“), která na počítači oběti otevírá neviditelnou relaci, takže vzdálený aktér může interagovat s plochou bez viditelných signálů pro uživatele. Atroposia navíc obsahuje správce souborů, který útočníkům umožňuje procházet disky a složky, vyhledávat soubory, stahovat je, mazat nebo spouštět na dálku.
Hromadný sběr a nenápadné balení
RAT obsahuje grabber, který vyhledává soubory podle přípony nebo klíčového slova a shlukuje shody do heslem chráněného ZIP souboru. Dokáže sestavit a zabalit data kompletně v paměti nebo se spoléhat na vestavěné systémové nástroje, čímž minimalizuje zbývající artefakty na disku a komplikuje forenzní detekci.
Možnosti krádeže přihlašovacích údajů a peněženek
Modul pro krádež hesel v Atroposii shromažďuje širokou škálu citlivých materiálů: uložená hesla prohlížečů, přihlašovací údaje z firemních aplikací a VPN klientů, data z programů pro zasílání zpráv, data správce hesel, pokud jsou k dispozici, a informace o kryptoměnových peněženkách. Zachycuje také obsah schránky (vše, co uživatel zkopíruje nebo vyřízne), zaznamenává a ukládá tyto položky. Dokáže dokonce přepsat obsah schránky a nahradit zkopírované adresy peněženek nebo přihlašovací údaje – což je technika užitečná pro odčerpávání finančních prostředků nebo únos účtů.
Manipulace se sítí a únos DNS
Malware může změnit nastavení DNS nebo jinak zachytit vyhledávání jmen, takže prohlížeč oběti je tiše přesměrován na podvodné stránky ovládané útočníkem (například falešné přihlašovací stránky). Protože prohlížeč může stále zobrazovat očekávanou URL adresu, oběti mohou být oklamány k zadání přihlašovacích údajů, i když si myslí, že se nacházejí na legitimním webu.
Skenování zranitelností a možnosti eskalace
Atroposia obsahuje skener, který kontroluje infikovaný hostitel a hledá chybějící záplaty, slabé konfigurace a zastaralý software. V podnikových prostředích to může odhalit vysoce hodnotné cíle – neopravené VPN klienty, chyby s eskalací oprávnění nebo jiná rizika – která pak útočníci zneužívají k rozšíření přístupu v síti.
Nástroje pro telemetrii systému a dálkové ovládání
Kromě krádeže dat a vzdálené plochy shromažďuje RAT systémová metadata (IP adresy, verzi operačního systému, geolokaci a další podrobnosti o prostředí), dokáže zobrazit a spravovat spuštěné procesy a podporuje vzdálené vypnutí a restartování. Sada nástrojů obsahuje také další nástroje s menším dopadem na systém, které společně poskytují širokou provozní flexibilitu.
Jak obvykle dochází k infekcím
Škodlivé nebo zneužívané dokumenty (například infikované PDF soubory nebo jiné přílohy distribuované e-mailem)
Balíčky softwarového pirátství, podvodné útoky typu „drive-by exploit“, falešné reklamy, falešné schémata technické podpory, P2P/sdílené soubory, klamavé weby pro stahování, instalační programy třetích stran a podobné kanály
Proč tyto metody doručování škodlivých kódů uspějí: útočníci se spoléhají na sociální inženýrství (falešné dokumenty, lákavé stahování nebo požadavky na spuštění souborů) nebo na zneužívání zranitelností a klamavých instalačních programů – k většině infekcí dochází, když je uživatel oklamán a spustí malware.
Shrnutí dopadů
Atroposia umožňuje komplexní exfiltraci dat (soubory, přihlašovací údaje, data ze schránky, krypto peněženky), skryté vzdálené ovládání, přesměrování sítě pomocí manipulace s DNS a průzkum pro další zneužití. Její nenápadná architektura (eskalace oprávnění, perzistence, balení v paměti, šifrovaný C2 a skryté vzdálené relace) ji činí obzvláště nebezpečnou pro jednotlivce i organizace.
Okamžitá reakce
Pokud existuje podezření na Atroposii nebo je v systému detekována, odpojte zařízení od sítě, pokud možno uchovávejte protokoly pro analýzu a co nejdříve odstraňte malware. Protože operátoři mohou používat získané přihlašovací údaje a laterální trasy, považujte jakékoli narušení za potenciálně rozsáhlé a zvažte rotaci hesel, zrušení tokenů a provedení širšího interního vyšetřování.
