Atropoosia ROT
Atroposia on kaubanduslikult kaubeldav kaugjuurdepääsuga troojalane (RAT), mida turustatakse salafoorumites. See pakub oma operaatoritele sügavat ja varjatud kontrolli ohustatud masinate üle ning rikkalikku tööriistakomplekti andmete varastamiseks, võrgukäitumise manipuleerimiseks ja süsteemide edasiste nõrkuste otsimiseks. Tänu oma laiadele võimalustele ja kõrvalehoidmisfunktsioonidele vajab Atroposia kinnitatud olemasolu seadmes viivitamatut eemaldamist.
Pahavaraohtu pakutakse potentsiaalsetele „klientidele” kolmes maksetasandis:
Kuumakse: 200 dollarit
Kvartalis: 500 dollarit (kolm kuud)
Poolaastapõhine kindlustus: 900 dollarit (kuus kuud)
Sisukord
Varjatus, püsivus ja käsukanal
Atroposia on loodud varjatuks jääma. See suudab privileege automaatselt laiendada (mööda UAC-d), kasutab mitmeid püsivustehnikaid, et taaskäivitused üle elaksid, ja on loodud viirusetõrje tuvastamise vältimiseks. Selle suhtlus operaatori juhtimisserveritega on krüptitud ning veebistiilis juhtpaneel lihtsustab pahatahtlike ülesannete täitmist isegi mõõdukalt osavate kurjategijate jaoks.
Varjatud kaugjuhtimispult ja failihaldus
Signatuurfunktsioon on varjatud kaugtöölaua komponent (turustatuna kui „HRDP Connect”), mis avab ohvri arvutis nähtamatu seansi, et kaugtöötaja saaks töölauaga suhelda ilma kasutajale nähtavaid märke andmata. Lisaks sisaldab Atroposia failihaldurit, mis võimaldab ründajatel sirvida draive ja kaustu, otsida faile, neid alla laadida, kustutada või kaugelt käivitada.
Masskogumine ja salakaval pakendamine
RAT sisaldab haarajat, mis otsib faile laiendi või märksõna järgi ja koondab vasted parooliga kaitstud ZIP-faili. See suudab andmeid täielikult mällu koondada ja pakendada või toetuda sisseehitatud süsteemiutiliitidele, minimeerides kettale jäänud artefaktide hulka ja raskendades kohtuekspertiisi.
Volituste ja rahakoti varguse võimalused
Atroposia varastusmoodul kogub laia valikut tundlikku materjali: salvestatud brauseriparoole, ärirakenduste ja VPN-klientide volitusi, sõnumsideprogrammide andmeid, paroolihalduri andmeid (kui need on saadaval) ja krüptovaluuta rahakoti teavet. See jäädvustab ka lõikelaua sisu (kõike, mida kasutaja kopeerib või lõikab), logib ja salvestab need kirjed. See suudab isegi lõikelaua sisu üle kirjutada, et asendada kopeeritud rahakoti aadresse või volitusi – see on tehnika, mis on kasulik raha väljaviskamiseks või kontode kaaperdamiseks.
Võrgu manipuleerimine ja DNS-i kaaperdamine
Pahavara suudab muuta DNS-i seadeid või muul viisil nimeotsinguid pealt kuulata, nii et ohvri brauser suunatakse märkamatult ründaja kontrollitavatele petisaitidele (näiteks võltsitud sisselogimislehtedele). Kuna brauser võib ikkagi kuvada oodatud URL-i, saab ohvreid petta ja nad saavad oma volitusi sisestada, arvates, et nad on legitiimsel saidil.
Haavatavuse skaneerimine ja eskaleerimisvõimalused
Atroposia sisaldab skannerit, mis kontrollib nakatunud hosti puuduvate paranduste, nõrkade konfiguratsioonide ja aegunud tarkvara suhtes. Ettevõttekeskkondades võib see paljastada väärtuslikke sihtmärke – parandamata VPN-kliente, privileegide eskaleerimise vigu või muid riske –, mida ründajad seejärel võrgus juurdepääsu laiendamiseks ära kasutavad.
Süsteemi telemeetria ja kaugjuhtimispuldid
Lisaks andmevargusele ja kaugtöölauale kogub RAT süsteemi metaandmeid (IP-aadressid, operatsioonisüsteemi versioon, geolokatsioon ja muud keskkonnaandmed), saab loetleda ja hallata töötavaid protsesse ning toetab kaugväljalülitamise ja -taaskäivitamise toiminguid. Tööriistakomplekt sisaldab ka täiendavaid, väiksema mõjuga utiliite, mis kokku pakuvad laia operatiivset paindlikkust.
Kuidas nakkused tavaliselt tekivad
Pahatahtlikud või relvaks muudetud dokumendid (näiteks nakatunud PDF-failid või muud e-posti teel levitatavad manused)
Tarkvarapiraatluse paketid, juhuslikud rünnakud, petturlikud reklaamid, võltsitud tehnilise toe skeemid, P2P/jagatud failid, petturlikud allalaadimissaidid, kolmandate osapoolte installijad ja sarnased kanalid
Miks need edastusmeetodid on edukad: ründajad tuginevad sotsiaalsele manipuleerimisele (võltsidokumendid, ahvatlevad allalaadimised või failide käivitamise taotlused) või haavatavuste ja petlike installiprogrammide kuritarvitamisele – enamik nakatumisi juhtub siis, kui kasutajat petetakse pahavara käivitama.
Mõju kokkuvõte
Atroposia võimaldab ulatuslikku andmete väljafiltreerimist (failid, volitused, lõikelaua andmed, krüptorahakotid), salajast kaugjuhtimist, võrgu ümbersuunamist DNS-i manipuleerimise kaudu ja luuret edasiseks ärakasutamiseks. Selle varjatud arhitektuur (privileegide eskaleerimine, püsivus, mälusisene pakendamine, krüptitud C2 ja peidetud kaugseansid) muudab selle eriti ohtlikuks nii üksikisikutele kui ka organisatsioonidele.
Kohene reageerimine
Kui süsteemis kahtlustatakse või tuvastatakse atropoosia, ühendage seade võrkudest lahti, säilitage logid võimaluse korral analüüsimiseks ja eemaldage pahavara niipea kui võimalik. Kuna operaatorid saavad kasutada kogutud volitusi ja külgmisi marsruute, käsitlege iga ohtu potentsiaalselt laialt levinud ohuna ning kaaluge paroolide vahetamist, lubade tühistamist ja laiema sisejuurdluse läbiviimist.
