Licence pro více zařízení (množstevní slevy)
Threat Database Remote Administration Tools CetaRAT

CetaRAT

V roce Mezo v roce Remote Administration Tools
Přeložit do:
Čeština

CetaRAT je hrozba vzdáleného přístupu Trojan (RAT) napsaná pomocí programovacího jazyka C#. Jeho hlavní funkcí je provádět špionážní činnosti, kde sbírá a následně exfiltruje citlivá data z napadených strojů. Komunita infosec si této hrozby poprvé všimla, když byla nasazena v stále probíhající operaci SideCopy, útočné kampani zaměřené na indické obranné síly a personál ozbrojených sil. Od té doby CetaRAT rozšiřuje svůj dosah a využívá se při dalších útocích proti indickým vládním agenturám.

Útočný řetězec

Infekční řetězec CetaRATu začíná distribucí spear-phishingových e-mailů obsahujících zbraňovou přílohu. Poškozené přílohy mohou mít podobu archivu ZIP, který načte soubor HTA ze vzdálené adresy URL. Spuštění souboru HTA doručí hrozbu CetaRAT na počítač oběti. Doposud byly pozorovány dvě různé metody.

V prvním z nich po spuštění souboru HTA pokračuje vytvoření a spuštění souboru JavaScript umístěného v umístění 'C:\ProgramData'. Skript je zodpovědný za to, že nic netušící oběti ukáže návnadu, aby ji odvedl od skutečnosti, že CetaRAT je shozen ze spouštěcího umístění systému. Nástražné dokumenty obvykle obsahují informace o relevantním tématu týkajícím se regionu a zejména Indie.

Druhá metoda umožňuje vytvoření a spuštění dávkových souborů v náhodně pojmenované složce na jednotce C napadeného zařízení. Dalším krokem je přidání položky registru na HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ukazující na užitečné zatížení CetaRAT. V tomto případě je spustitelný soubor hrozby umístěn ve složce '%AppData/Roaming%'.

Shromážděná data

Než CetaRAT aktivuje svou hlavní funkcionalitu, hrozba provede kontrolu všech spuštěných AV řešení a odešle získané údaje na svůj server Command-an-Control (C2, C&C). Poté začne shromažďovat různé systémové údaje, včetně názvu počítače, IP adresy, údajů o paměti, procesoru, dat OS a dalších.

Po odeslání počáteční informace o napadeném zařízení bude CetaRAT čekat na další příkazy. Aktér hrozby může dát pokyn RAT, aby načetla další užitečné zatížení a provedla je, manipulovala se souborovým systémem oběti, pořizovala libovolné snímky obrazovky, prováděla libovolné příkazy a další rušivé akce. Všechna sklizená data jsou před odesláním na server C2 zašifrována pomocí algoritmu RC4.

Trendy

Nejvíce shlédnuto

E-mailový podvod „Geek Squad“.

Phishing, Spam
15,356
Geek Squad, populární poskytovatel technické podpory, se stal obětí phishingového podvodu s názvem Geek Squad Email Scam. Tento podvod s technickou podporou využívá falešné e-maily, které klamou lidi, aby prozradili své osobní údaje, jako jsou údaje o kreditní kartě, e-mailové adresy a dokonce i čísla sociálního pojištění. V tomto článku probereme samotný podvod, jak vypadá, odkud pocházejí...
Načítání...