ReverseRat

En potentielt skadelig angrebskampagne, der anvender en tidligere ukendt fjernadgang Trojan (RAT) ved navn ReverseRat, er blevet opdaget af forskere. Truslen sammen med en open source RAT kaldet AllaKore er blevet indsat mod et snævert sæt udvalgte mål, der opererer i kritiske industrisektorer. Nogle af de identificerede ofre inkluderer en udenlandsk regeringsorganisation, et kraftoverførselsselskab og en kraftproduktions- og transmissionsorganisation. Næsten alle de organisationer, der viste tegn, der var i overensstemmelse med IoC (Indicators of Compromise) observeret i ReverseRat-kampagnen, er placeret i Indien, hvor kun et lille antal ofre er fra Afghanistan. Med hensyn til den trusselaktør, der er ansvarlig for angrebene, ser det ud til, at den enten opererer fra Pakistan eller har bånd til landet.

ReverseRats kapaciteter

Når det er udrullet inden for offerets interne netværk med succes, giver ReverseRat trusselsaktøren mulighed for at udføre adskillige truende aktiviteter afhængigt af deres særlige mål. Lad os starte fra starten - truslen begynder sin operation ved at tælle den kompromitterede enhed og indsamle forskellige data om den via Windows Management Instrumentation (WMI). Blandt de indsamlede oplysninger er enhedens MAC-adresse, den fysiske hukommelse, der er tilsluttet den, og adskillige CPU-detaljer - Maks. Klokkehastighed, modelnavn, producent osv. ReverseRat bestemmer også computernavnet, operativsystemet og den offentlige IP-adresse via .Net framework.

Alle høstede data kodes derefter og sendes til en Command-and-Control (C2, C&C) node. ReverseRat venter derefter på at modtage en passende kommando, der matcher dens forudbyggede funktioner. Trusselsaktøren kan instruere RAT om at ændre filstrukturen på systemet; kør, start eller dræb specificerede processer, indsaml data fra udklipsholderen, tag skærmbilleder og udfør vilkårlige kommandoer fra et skjult cmd.exe-vindue. Dette basissæt med funktionalitet kunne dog udvides med yderligere moduler, som ReverseRat kan downloade og starte på det brudte system.

RAT'er er ekstremt truende malware, og selv organisationer, der ikke falder inden for de nuværende kriterier for ReverseRats ofre, bør tage de nødvendige forholdsregler og justere deres sikkerhedsforanstaltninger.