ΚΑΤΑΝΟΗΣΗ
Οι ειδικοί σε κακόβουλο λογισμικό εντόπισαν μια νέα ομάδα hacking που φαίνεται να ειδικεύεται σε RAT (Remote Access Trojans). Λόγω αυτού, η ομάδα εγκλήματος στον κυβερνοχώρο έλαβε το όνομα RATicate. Ωστόσο, η ομάδα hacking RATicate χρησιμοποιεί άλλες απειλές, όπως backdoors και infostealers. Η ομάδα RATicate εμφανίστηκε για πρώτη φορά το 2019 και έκτοτε έχει πραγματοποιήσει μια σειρά από επιθέσεις υψηλού προφίλ. Η ομάδα RATicate βασίζεται σε μια ενιαία υποδομή για όλες τις επιθέσεις της, ανεξάρτητα από τα εργαλεία hacking που έχουν αναπτυχθεί. Αυτό επέτρεψε στους αναλυτές κακόβουλου λογισμικού να προσδιορίσουν ότι μεταξύ Νοεμβρίου 2019 και Ιανουαρίου 2020, η ομάδα hacking RATicate έχει πραγματοποιήσει πέντε επιχειρήσεις RAT μεγάλης κλίμακας.
Οι περισσότερες από τις ομαδικές καμπάνιες RATicate συγκεντρώνονται στη Νότια Κορέα, την Ευρώπη και τη Μέση Ανατολή. Οι στόχοι του ομίλου RATicate είναι επιχειρήσεις που δραστηριοποιούνται σε διάφορους κλάδους. Μετά τη μαζική επιχείρηση που έλαβε χώρα τον Ιανουάριο του 2020, η ομάδα RATicate σώπασε για λίγο μέχρι να επανέλθει στο προσκήνιο με μια επιχείρηση με θέμα τον κορωνοϊό. Η τελευταία τους καμπάνια χρησιμοποιήθηκε για την παράδοση πολλών διαφορετικών RAT μέσω τεχνικών phishing. Πολλοί απατεώνες του κυβερνοχώρου χρησιμοποιούν περιεχόμενο με θέμα τον COVID-19 για να ψαρεύουν χρήστες, επομένως να είστε πολύ προσεκτικοί εάν λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου σχετικά με την πανδημία. Είναι πιθανό να πρόκειται για ένα σχέδιο ή άλλο απειλητικό περιεχόμενο, με το οποίο δεν θα πρέπει να αλληλεπιδράτε σε καμία περίπτωση.
Μεταξύ των κινήσεων υπογραφής της ομάδας hacking RATicate είναι η χρήση προγραμμάτων εγκατάστασης NSIS. Το βοηθητικό πρόγραμμα NSIS είναι ένα νόμιμο εργαλείο που χρησιμοποιούν οι προγραμματιστές για να δημιουργήσουν προγράμματα εγκατάστασης για διαφορετικές εφαρμογές. Το γεγονός ότι το βοηθητικό πρόγραμμα NSIS έχει μια αρθρωτή δομή επιτρέπει στους εισβολείς να τροποποιήσουν τη λειτουργικότητά του προσθέτοντας επιπλέον πρόσθετα και δυνατότητες. Η ομάδα hacking RATicate είναι πιθανό να χρησιμοποιήσει αυτή τη λειτουργία για να επεκτείνει τις δυνατότητες των εγκαταστατών και να τους επιτρέψει:
- Σκοτώστε τις ενεργές διαδικασίες.
- Αποσυμπίεση αρχείων.
- Φορτώστε κατεστραμμένα DLL (Βιβλιοθήκες Δυναμικής Σύνδεσης).
- Εκτελέστε εντολές.
Οι περισσότερες από τις καμπάνιες της ομάδας RATicate αναπτύσσουν γνωστά εργαλεία hacking όπως Betabot , NetWire RAT , Agent Tesla , Lokibot , Remcos RAT , Formbook κ.λπ. Δεδομένου ότι οι απατεώνες του κυβερνοχώρου RATicate χρησιμοποιούν δημοφιλή εργαλεία hacking ως τελικό ωφέλιμο φορτίο, ένα αξιόπιστο, Η σημερινή λύση κατά του κακόβουλου λογισμικού θα είναι σε θέση να προστατεύσει το σύστημά σας.
