FlawedGrace RAT

FlawedGrace er navnet på en fuldgyldig RAT (Remote Access Threat), der er en del af det truende arsenal af den økonomisk motiverede bande af cyberkriminelle sporet som TA505 (eller Hive0065). Gruppen har været aktiv siden mindst 2014 og er blandt de mest produktive med flere angrebskampagner, der tilskrives den. Et andet kendetegn ved TA505 er dens tilbøjelighed til at implementere hyppige ændringer i både deres TTP'er (taktik, teknikker og procedurer) samt truseltyper mod malware. Gruppen er blevet observeret udføre massive email spam kampagner leverer den Dridex bank Trojan, før man går videre til at distribuere Locky og Jaff ransomware trusler, den TrickBot bank Trojan og mere.

FlawedGrace Detaljer

Første gang, at FlawedGrace RAT blev opdaget af infosec -forskere, var i november 2017. Det er en kraftfuld RAT skrevet på C ++ - programmeringssproget. Det er i stand til at genkende flere indgående kommandoer fra en Command-and-Control-server, der sendes via en brugerdefineret binær protokol ved hjælp af port 443. Truslen kan instrueres i at hente yderligere beskadigede moduler og derefter indlæse og eksekvere dem. Det kan også downloade og eksfiltrere valgte filer, indsamle følsomme brugeroplysninger, såsom adgangskoder og mere.

I de seneste angrebsoperationer udført af TA505 blev en opdateret version af FlawedGrace RAT indsat. Mens den fulde analyse af ændringerne stadig er i gang, har forskerne hidtil observeret, at truslen nu anvender krypterede strenge og tilsløret API -opkald. En anden forskel blev fundet i den måde, hvorpå truslen lagrede sin konfiguration. Den oprindelige eller standardkonfiguration gemmes på systemet som en krypteret ressource. Bagefter er den delt i to - en aktuel konfigurationsinstans placeret i et kortlagt hukommelsesområde og en persistensmekanisme injiceret i systemets registreringsdatabase.