CetaRAT

CetaRAT er en Remote Access Trojan (RAT) trussel skrevet ved hjælp af C# programmeringssproget. Dens hovedfunktion er at udføre spionageaktiviteter, hvor den høster og derefter eksfiltrerer følsomme data fra de kompromitterede maskiner. Truslen blev først bemærket af infosec-samfundet, da den blev indsat i den stadig igangværende Operation SideCopy, en angrebskampagne rettet mod indiske forsvarsstyrker og væbnede styrkers personel. Siden da har CetaRAT udvidet sin rækkevidde og blevet udnyttet i yderligere angreb mod indiske regeringsorganer.

Angrebskæde

CetaRATs infektionskæde begynder med distributionen af spear-phishing-e-mails med en våbenbaseret vedhæftet fil. De korrupte vedhæftede filer kan have form af et ZIP-arkiv, der henter en HTA-fil fra en ekstern URL. Eksekvering af HTA-filen leverer CetaRAT'ens trussel over på ofrets maskine. Indtil videre er to forskellige metoder blevet observeret.

I den første, efter at HTA-filen er startet, fortsætter den med at oprette og udføre en JavaScript-fil placeret på 'C:\ProgramData'-placeringen. Scriptet er ansvarligt for at vise et lokkedokument til det intetanende offer for at distrahere dem fra det faktum, at CetaRAT-nyttelasten bliver droppet ved systemets startsted. Lokkedokumenterne indeholder normalt oplysninger om et relevant emne vedrørende regionen og Indien i særdeleshed.

Den anden metode ser oprettelsen og udførelsen af batchfiler droppet i en tilfældigt navngivet mappe på C-drevet på den kompromitterede enhed. Det næste trin er at tilføje en registreringsdatabasepost på HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, der peger på CetaRATs nyttelast. I dette tilfælde er truslens eksekverbare fil placeret i mappen '%AppData/Roaming%'.

Indsamlede data

Før CetaRAT aktiverer sin hovedfunktionalitet, udfører truslen en scanning for alle kørende AV-løsninger og sender de indhentede detaljer til sin Command-an-Control (C2, C&C) server. Derefter begynder den at indsamle forskellige systemdetaljer, herunder computernavn, IP-adresse, hukommelsesdetaljer, processoroplysninger, OS-data og mere.

Når den første information om den kompromitterede enhed er blevet transmitteret, vil CetaRAT vente på yderligere kommandoer. Trusselsaktøren kan instruere RAT til at hente yderligere nyttelast og udføre dem, manipulere offerets filsystem, tage vilkårlige skærmbilleder, udføre vilkårlige kommandoer og andre påtrængende handlinger. Alle indsamlede data krypteres med RC4-algoritmen, før de overføres til C2-serveren.