Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό Ατροπωσία RAT

Ατροπωσία RAT

Μέχρι το Mezo το Κακόβουλο λογισμικό, Εργαλεία απομακρυσμένης διαχείρισης
Μετάφραση σε:

Το Atroposia είναι ένα εμπορικά διαπραγματεύσιμο Trojan απομακρυσμένης πρόσβασης (RAT) που διατίθεται στην αγορά σε underground φόρουμ. Παρέχει στους χειριστές του βαθύ, κρυφό έλεγχο σε παραβιασμένα μηχανήματα και ένα πλούσιο σύνολο εργαλείων για την κλοπή δεδομένων, τον χειρισμό της συμπεριφοράς του δικτύου και την ανίχνευση συστημάτων για περαιτέρω αδυναμίες. Λόγω των ευρέων δυνατοτήτων και των χαρακτηριστικών αποφυγής, οποιαδήποτε επιβεβαιωμένη παρουσία του Atroposia σε μια συσκευή απαιτεί άμεση αφαίρεση.

Η απειλή κακόβουλου λογισμικού προσφέρεται σε πιθανούς «πελάτες» σε τρία επίπεδα πληρωμής:

Μηνιαία ενοικίαση: 200 $

Τριμηνιαία: 500 $ (τρεις μήνες)

Εξαμηνιαίο: 900 $ (έξι μήνες)

Αθόρυβη λειτουργία, επιμονή και κανάλι εντολών

Το Atroposia έχει σχεδιαστεί για να παραμένει κρυφό. Μπορεί να κλιμακώσει αυτόματα τα δικαιώματα (παρακάμπτοντας το UAC), χρησιμοποιεί πολλαπλές τεχνικές διατήρησης ώστε να επιβιώνει από επανεκκινήσεις και έχει σχεδιαστεί για να αποφεύγει την ανίχνευση από ιούς. Οι επικοινωνίες του με τους διακομιστές εντολών και ελέγχου των χειριστών είναι κρυπτογραφημένες και ένας πίνακας ελέγχου σε στυλ web απλοποιεί την εκτέλεση κακόβουλων εργασιών ακόμη και για εγκληματίες με μέτρια εξειδίκευση.

Κρυφό τηλεχειριστήριο και διαχείριση αρχείων

Μια λειτουργία υπογραφής είναι ένα κρυφό στοιχείο απομακρυσμένης επιφάνειας εργασίας (που διατίθεται στην αγορά ως «HRDP Connect») που ανοίγει μια αόρατη συνεδρία στον υπολογιστή του θύματος, ώστε ένας απομακρυσμένος χρήστης να μπορεί να αλληλεπιδράσει με την επιφάνεια εργασίας χωρίς ορατά σημάδια στον χρήστη. Συμπληρώνοντας αυτό, το Atroposia περιλαμβάνει έναν διαχειριστή αρχείων που επιτρέπει στους εισβολείς να περιηγούνται σε μονάδες δίσκου και φακέλους, να αναζητούν αρχεία, να τα κατεβάζουν, να τα διαγράφουν ή να τα εκτελούν απομακρυσμένα.

Μαζική συλλογή και κρυφή συσκευασία

Το RAT περιέχει ένα εργαλείο grabber που αναζητά αρχεία με επέκταση ή λέξη-κλειδί και ομαδοποιεί τα αποτελέσματα σε ένα ZIP που προστατεύεται με κωδικό πρόσβασης. Μπορεί να συγκεντρώσει και να συσκευάσει δεδομένα εξ ολοκλήρου στη μνήμη ή να βασιστεί σε ενσωματωμένα βοηθητικά προγράμματα συστήματος, ελαχιστοποιώντας τα υπολείμματα αντικειμένων στο δίσκο και περιπλέκοντας την εγκληματολογική ανίχνευση.

Δυνατότητες κλοπής διαπιστευτηρίων και πορτοφολιού

Η ενότητα κλοπής του Atroposia συλλέγει ένα ευρύ φάσμα ευαίσθητου υλικού: αποθηκευμένους κωδικούς πρόσβασης προγράμματος περιήγησης, διαπιστευτήρια από επιχειρηματικές εφαρμογές και πελάτες VPN, δεδομένα από προγράμματα ανταλλαγής μηνυμάτων, δεδομένα διαχείρισης κωδικών πρόσβασης όπου είναι διαθέσιμα και πληροφορίες για το πορτοφόλι κρυπτονομισμάτων. Καταγράφει επίσης το περιεχόμενο του προχείρου (οτιδήποτε αντιγράφει ή κόβει ένας χρήστης), καταγράφει και αποθηκεύει αυτές τις καταχωρήσεις. Μπορεί ακόμη και να αντικαταστήσει το περιεχόμενο του προχείρου για να αντικαταστήσει τις αντιγραμμένες διευθύνσεις ή τα διαπιστευτήρια πορτοφολιού — μια τεχνική χρήσιμη για την υπεξαίρεση χρημάτων ή την παραβίαση λογαριασμών.

Χειραγώγηση δικτύου και παραβίαση DNS

Το κακόβουλο λογισμικό μπορεί να αλλάξει τις ρυθμίσεις DNS ή να αναχαιτίσει με άλλο τρόπο τις αναζητήσεις ονομάτων, έτσι ώστε το πρόγραμμα περιήγησης ενός θύματος να ανακατευθύνεται σιωπηλά σε ιστότοπους απατεώνων που ελέγχονται από εισβολείς (για παράδειγμα, ψεύτικες σελίδες σύνδεσης). Επειδή το πρόγραμμα περιήγησης ενδέχεται να εξακολουθεί να εμφανίζει την αναμενόμενη διεύθυνση URL, τα θύματα μπορούν να εξαπατηθούν ώστε να εισαγάγουν διαπιστευτήρια νομίζοντας ότι βρίσκονται σε έναν νόμιμο ιστότοπο.

Σάρωση ευπαθειών και ευκαιρίες κλιμάκωσης

Το Atroposia περιλαμβάνει έναν σαρωτή που ελέγχει τον μολυσμένο κεντρικό υπολογιστή για ελλείπουσες ενημερώσεις κώδικα, αδύναμες διαμορφώσεις και παρωχημένο λογισμικό. Σε εταιρικά περιβάλλοντα, αυτό μπορεί να αποκαλύψει στόχους υψηλής αξίας — μη ενημερωμένους πελάτες VPN, σφάλματα κλιμάκωσης δικαιωμάτων ή άλλες εκθέσεις — τις οποίες οι εισβολείς εκμεταλλεύονται στη συνέχεια για να επεκτείνουν την πρόσβαση σε ένα δίκτυο.

Βοηθητικά προγράμματα τηλεμετρίας συστήματος και τηλεχειρισμού

Πέρα από την κλοπή δεδομένων και την απομακρυσμένη επιφάνεια εργασίας, το RAT συλλέγει μεταδεδομένα συστήματος (διευθύνσεις IP, έκδοση λειτουργικού συστήματος, γεωγραφική τοποθεσία και άλλες λεπτομέρειες περιβάλλοντος), μπορεί να παραθέτει και να διαχειρίζεται διεργασίες που εκτελούνται και υποστηρίζει λειτουργίες απομακρυσμένου τερματισμού λειτουργίας και επανεκκίνησης. Το κιτ εργαλείων περιλαμβάνει επίσης πρόσθετα βοηθητικά προγράμματα με χαμηλότερο αντίκτυπο που μαζί παρέχουν ευρεία λειτουργική ευελιξία.

Πώς εμφανίζονται συνήθως οι λοιμώξεις

Κακόβουλα ή οπλισμένα έγγραφα (για παράδειγμα, μολυσμένα PDF ή άλλα συνημμένα που διανέμονται μέσω ηλεκτρονικού ταχυδρομείου)

Πακέτα πειρατείας λογισμικού, drive-by exploits, παραπλανητικές διαφημίσεις, ψεύτικα σχήματα τεχνικής υποστήριξης, P2P/κοινόχρηστα αρχεία, παραπλανητικές ιστοσελίδες λήψης, προγράμματα εγκατάστασης τρίτων και παρόμοια κανάλια

Γιατί αυτές οι μέθοδοι παράδοσης πετυχαίνουν: οι εισβολείς βασίζονται στην κοινωνική μηχανική (πλαστά έγγραφα, δελεαστικές λήψεις ή αιτήματα για εκτέλεση αρχείων) ή στην κατάχρηση ευπαθειών και παραπλανητικών εγκαταστατών — οι περισσότερες μολύνσεις συμβαίνουν όταν ένας χρήστης εξαπατάται ώστε να εκτελέσει κακόβουλο λογισμικό.

Σύνοψη επιπτώσεων

Το Atroposia επιτρέπει την ολοκληρωμένη εξαγωγή δεδομένων (αρχεία, διαπιστευτήρια, δεδομένα από το πρόχειρο, κρυπτογραφικά πορτοφόλια), τον μυστικό τηλεχειρισμό, την ανακατεύθυνση δικτύου μέσω παραβίασης DNS και την αναγνώριση για περαιτέρω εκμετάλλευση. Η κρυφή αρχιτεκτονική του (κλιμάκωση δικαιωμάτων, διατήρηση, συσκευασία στη μνήμη, κρυπτογραφημένο C2 και κρυφές απομακρυσμένες συνεδρίες) το καθιστά ιδιαίτερα επικίνδυνο τόσο για άτομα όσο και για οργανισμούς.

Άμεση ανταπόκριση

Εάν υπάρχει υποψία ή εντοπιστεί Atroposia σε ένα σύστημα, αποσυνδέστε τη συσκευή από τα δίκτυα, διατηρήστε τα αρχεία καταγραφής για ανάλυση, εάν είναι δυνατόν, και αφαιρέστε το κακόβουλο λογισμικό το συντομότερο δυνατό. Επειδή οι χειριστές μπορούν να χρησιμοποιήσουν συλλεγμένα διαπιστευτήρια και πλευρικές διαδρομές, αντιμετωπίστε οποιαδήποτε παραβίαση ως δυνητικά εκτεταμένη και εξετάστε το ενδεχόμενο εναλλαγής κωδικών πρόσβασης, ανάκλησης διακριτικών και διενέργειας ευρύτερης εσωτερικής έρευνας.


Τάσεις

Απάτη με απώλεια δεμάτων από την DHL Express

Phishing, Ανεπιθύμητη αλληλογραφία
Ερευνητές κυβερνοασφάλειας έχουν προειδοποιήσει για μια παραπλανητική εκστρατεία ηλεκτρονικού "ψαρέματος" (phishing) γνωστή ως απάτη κατά την τοποθέτηση δεμάτων μέσω DHL Express. Αυτά τα δόλια email μεταμφιέζονται σε επίσημες ειδοποιήσεις παράδοσης που υποτίθεται ότι αποστέλλονται από την DHL. Τα μηνύματα συνήθως ισχυρίζονται ότι ο παραλήπτης πρέπει να επαληθεύσει τη διεύθυνσή του ή να...

Απάτη τακτικού καθαρισμού αχρησιμοποίητων λογαριασμών

Phishing, Ανεπιθύμητη αλληλογραφία
Ερευνητές κυβερνοασφάλειας αποκάλυψαν ότι τα λεγόμενα email «Ρουτίνας Εκκαθάρισης Αχρησιμοποίητων Λογαριασμών» δεν αποτελούν νόμιμες ειδοποιήσεις συντήρησης, αλλά μάλλον κακόβουλες απόπειρες ηλεκτρονικού «ψαρέματος» (phishing). Αυτά τα δόλια μηνύματα έχουν σχεδιαστεί για να ξεγελάσουν τους παραλήπτες ώστε να αποκαλύψουν ευαίσθητα στοιχεία σύνδεσης με το πρόσχημα ενός ελέγχου ασφαλείας. Δεν...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
32,947
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...