SombRAT

SombRAT

SombRAT er en bagdørstrussel, der observeres udbredt i kampagner af det, der menes at være en trusselsaktørgruppe kaldet CostaRicto, der tilbyder hackingtjenester til leje. De værktøjer, de bruger, inklusive SombRAT, ser ud til at være specialbyggede eller specifikt håndværkere til denne hackergruppe, da de ikke vises uden for CostaRicto- operationer.

Visse detaljer findes inde i SombRAT-koden, at malwaretruslen på et tidspunkt blev opkaldt Sombra, et tegn fra det populære spil Overwatch, der beskrives som spionage- og intelligensvurderingsspecialist, der besidder store hackingfærdigheder. Skrevet i C ++ er SombRAT karakteriseret ved at have typisk bagdørfunktionalitet, der er fortryllet gennem en plugin-arkitektur. Dette betyder, at CostaRicto-angriberne hovedsageligt bruger truslen som en mellemmand, der dropper og udfører yderligere beskadigede plugins eller binære filer og kan exfiltrere specifikke systemdata, afslutte processer og uploade filer til Command-and-Control (C&C, C2) -infrastrukturen på dens egen.

Efter at være udført på den målrettede computer kontrollerer SombRAT først, om den køres som en tjeneste, og opretter derefter en mutex, der en gang indeholder & HOSTNAME & efterfulgt af enten 'S', 'U' eller 'SU', bestemt af de specifikke privilegier, som truslen blev henrettet med. Når den er fuldt implementeret, kan SombRAT genkende 50 forskellige kommandoer, der bredt kan opdeles i seks grupper, der hver har en separat grænseflade - Core, Taskman, Config, Storage, Debug og Network.

Før det kan begynde at modtage kommandoer, skal SombRAT etablere en forbindelse med C2-serverne. Dette opnås gennem enten DNS-tunneling eller TCP-stik, hvor kommunikationstrafikken krypteres med RSA-2048. C2-domænet er hårdkodet i truslen, mens underdomænet bestemmes ved brug af en Domain Generation Algorithm (DGA).

Alle data indsamlet af SombRAT sammen med dens konfigurationsoplysninger og eventuelle downloadede plugins placeres i en fil oprettet i% TEMP% -mappen med et brugerdefineret databaseformat. Filen bruger AES-256 som en krypteringsalgoritme, og hver gang malware vil enten læse det, der allerede er gemt eller tilføje nye oplysninger, skal det dekryptere og derefter kryptere hele filen igen.

Trending

Indlæser...