FlawedGrace RAT

FlawedGrace je název plnohodnotné RAT (Remote Access Threat), která je součástí hrozivého arzenálu finančně motivovaného gangu kyberzločinců sledovaného jako TA505 (nebo Hive0065). Skupina je aktivní nejméně od roku 2014 a patří mezi nejplodnější a je jí přisuzována řada útočných kampaní. Další charakteristickou vlastností TA505 je jeho náchylnost implementovat časté změny jak u jejich TTP (taktiky, techniky a postupy), tak u typů hrozeb malwaru. Tato skupina byla pozorována při masivních e -mailových spamových kampaních, které doručovaly bankovní trojan Dridex, než se přesunuly k distribuci hrozeb Locky a Jaff Ransomware, trojského trojského koně TrickBot a dalších.

Podrobnosti o FlawedGrace

Poprvé byla FlawedGrace RAT detekována výzkumníky infosecu v listopadu 2017. Jedná se o výkonnou RAT napsanou v programovacím jazyce C ++. Je schopen rozpoznat více příchozích příkazů ze serveru Command-and-Control odeslaného prostřednictvím vlastního binárního protokolu pomocí portu 443. Hrozbě lze přikázat načíst další poškozené moduly a poté je načíst a spustit. Může také stahovat a filtrovat vybrané soubory, shromažďovat citlivé uživatelské informace, jako jsou hesla a další.

V nejnovějších útočných operacích prováděných TA505 byla nasazena aktualizovaná verze FlawedGrace RAT. Zatímco úplná analýza změn stále probíhá, vědci zatím zjistili, že tato hrozba nyní využívá šifrované řetězce a zmatená volání API. Další rozdíl byl nalezen ve způsobu, jakým hrozba ukládala svou konfiguraci. Počáteční nebo výchozí konfigurace je v systému uložena jako šifrovaný prostředek. Poté se rozdělí na dvě části - aktuální instance konfigurace umístěná v mapované oblasti paměti a mechanismus trvalosti vložený do registru systému.