Lime RAT

Lime RAT Beskrivelse

LimeRAT er en simpel Remote Access Trojan, der ikke desto mindre leverer et stort sæt af uhyggelige funktioner til trusselsaktører. Truslen er designet til at inficere Windows-systemer og har en modulær sammensætning, der kan justeres til at handle i henhold til hackernes behov. Det kan etablere en bagdør på den kompromitterede maskine og udføre vilkårlige kommandoer. Hvis instrueret, kan LimeRAT implementere crypto-minearbejdsbelastninger eller starte en krypteringsrutine, der låser de målrettede filtyper på en måde, der ligner ransomware-trusler. Desuden kan alle vellykkede infiltrerede systemer føjes til botnet.

Hvis dette ikke var nok, kan LimeRAT også fungere som en skærmlås eller en datasamler, der høster private data og filer og exfiltrerer dem til sin Command-and-Control (C2, C&C) server. Alle uploadede oplysninger krypteres først ved hjælp af AES kryptografiske algoritme. Malwaretruslen kan også registrere USB-drev, der er tilsluttet det inficerede system, og bruge dem til at sprede sig yderligere.

LimeRAT har flere detektionsundgåelses- og antivirtualiseringsteknikker til rådighed. Det kan scanne for tegn på at blive kørt på en virtuel maskine (VM) og afinstallere sig selv, hvis det er nødvendigt.

Infektion via en gammel Excel-krypteringsteknik

LimeRAT spredes som skrivebeskyttede Excel-dokumenter i en nylig opdaget angrebskampagne. De trojanske dokumenter er vedhæftet phishing-e-mails rettet mod den valgte målgruppe. Beslutningen om at bruge skrivebeskyttede dokumenter og ikke låste dokumenter er bevidst. Skrivebeskyttede filer kræver ikke, at der skal åbnes en adgangskode, og de kan også bruges i en gammel Excel-udnyttelsesteknik. Når en sådan fil udføres, vil Excel forsøge at dekryptere den med en indlejret standardadgangskode - 'VelvetSweatshop', samtidig med at den aktiverer indbyggede makroer og tillader, at den beskadigede nyttelast starter sin angrebskæde. Anvendelsen af denne teknik går tilbage til 2013, og udnyttelsen er tildelt betegnelsen CVE-2012-0158. Selvom spørgsmålet er blevet behandlet for længe siden, ser det ud til, at cyberkriminelle igen vender tilbage til det i et forsøg på at inficere nye ofre.