TSCookieRAT

TSCookieRAT er en trussel om fjernadgang, der blev udnyttet mod japanske mål af hackergruppen, der bærer betegnelsen BlackTech. Den truende operation brugte agn-e-mails for at narre de målrettede brugere til at klikke på en URL, der førte til truslen. Det skal bemærkes, at TSCookieRAT også blev sporet under PLEAD-navnet oprindeligt, men senere analyse har afsløret visse forskelle mellem de to.

De lokke-e-mails, der blev anvendt i kampagnen, påstås at komme fra ministeriet for uddannelse, kultur, sport, videnskab og teknologi i Japan. URL'en, der er angivet i e-mails, downloader en krypteret DLL-fil, der indeholder loader-komponenten i TSCookieRAT. DLL-filen indlæses derefter og udføres på hukommelsen. De skadelige funktionaliteter af truslen udvides derefter i de senere stadier af angrebet ved at hente og udføre yderligere moduler fra Command-and-Control (C2, C&C) serveren i kampagnen. Alle komponenter i det sene stadium køres også på hukommelsen.

Når TSCookieRAT er klar til at begynde sin truende operation, sender den en HTTP GET-anmodning til C&C og venter derefter på indgående kommandoer. Truslen giver modstanderen mulighed for at etablere et betydeligt niveau af kontrol over det inficerede system. Hackerne kan udføre vilkårlige shell-kommandoer, exfiltrere data inklusive drev- og systemoplysninger, manipulere filsystemet og høste følsomme oplysninger, såsom adgangskoder fra de mest populære webbrowsere - Chrome, Firefox, Edge, Internet Explorer og Outlook-e-mail-klienten. Resultater indsamlet som svar på de modtagne kommandoer uploades derefter i samme format som den første HTTP POST-anmodning.

BlackTech-angrebskampagnerne mod japanske mål kan fortsætte og kan involvere forskellige malware-trusler, så organisationer bør holde deres cybersikkerhed på et tilfredsstillende niveau og implementere eventuelle softwaresikkerhedsrettelser i rette tid.