Atroposia RAT
آتروپوزیا یک تروجان دسترسی از راه دور (RAT) است که به صورت تجاری معامله میشود و در انجمنهای زیرزمینی به فروش میرسد. این تروجان به اپراتورهای خود کنترل عمیق و مخفیانه بر روی دستگاههای آسیبدیده و یک ابزار غنی برای سرقت دادهها، دستکاری رفتار شبکه و کاوش سیستمها برای یافتن نقاط ضعف بیشتر را میدهد. به دلیل قابلیتهای گسترده و ویژگیهای گریز از آن، هرگونه حضور تایید شده آتروپوزیا در یک دستگاه نیاز به حذف فوری دارد.
این تهدید بدافزاری در سه سطح پرداخت به «مشتریان» بالقوه ارائه میشود:
اجاره ماهانه: ۲۰۰ دلار
سه ماهه: ۵۰۰ دلار (سه ماه)
نیمسالانه: ۹۰۰ دلار (شش ماه)
فهرست مطالب
مخفیکاری، پایداری و کانال فرماندهی
آتروپوزیا طوری ساخته شده که پنهان بماند. میتواند به طور خودکار امتیازات را افزایش دهد (با دور زدن UAC)، از تکنیکهای پایداری متعددی استفاده میکند تا از راهاندازی مجدد در امان بماند و طوری طراحی شده است که از شناسایی آنتیویروس فرار کند. ارتباطات آن با سرورهای فرمان و کنترل اپراتور رمزگذاری شده است و یک پنل کنترل به سبک وب، اجرای وظایف مخرب را حتی برای مجرمان با مهارت متوسط نیز ساده میکند.
کنترل از راه دور پنهان و مدیریت فایلها
یکی از ویژگیهای امضا، یک مؤلفهی دسکتاپ از راه دور پنهان (با نام تجاری «HRDP Connect») است که یک جلسهی نامرئی روی دستگاه قربانی باز میکند تا یک عامل از راه دور بتواند بدون علائم قابل مشاهده برای کاربر با دسکتاپ تعامل داشته باشد. در تکمیل این ویژگی، آتروپوزیا شامل یک مدیر فایل است که به مهاجمان اجازه میدهد درایوها و پوشهها را مرور کنند، فایلها را جستجو کنند، آنها را دانلود، حذف یا از راه دور اجرا کنند.
جمعآوری انبوه و بستهبندی مخفیانه
این RAT حاوی یک ابزار جمعآوری اطلاعات است که فایلها را بر اساس پسوند یا کلمه کلیدی جستجو میکند و موارد منطبق را در یک فایل زیپ محافظتشده با رمز عبور قرار میدهد. این ابزار میتواند دادهها را بهطور کامل در حافظه جمعآوری و بستهبندی کند یا به ابزارهای داخلی سیستم متکی باشد، که باعث به حداقل رساندن آثار باستانی باقیمانده روی دیسک و پیچیده شدن تشخیص پزشکی قانونی میشود.
قابلیتهای سرقت اعتبارنامه و کیف پول
ماژول دزدگیر آتروپوزیا طیف گستردهای از اطلاعات حساس را جمعآوری میکند: رمزهای عبور ذخیرهشده مرورگر، اطلاعات احراز هویت برنامههای تجاری و کلاینتهای VPN، دادههای برنامههای پیامرسان، دادههای مدیریت رمز عبور در صورت وجود و اطلاعات کیف پول ارزهای دیجیتال. همچنین محتوای کلیپبورد (هر چیزی که کاربر کپی یا کات میکند) را ضبط میکند، آن ورودیها را ثبت و ذخیره میکند. حتی میتواند محتوای کلیپبورد را بازنویسی کند تا آدرسهای کیف پول یا اطلاعات احراز هویت کپیشده را جایگزین کند - تکنیکی که برای سرقت وجوه یا ربودن حسابها مفید است.
دستکاری شبکه و ربودن DNS
این بدافزار میتواند تنظیمات DNS را تغییر دهد یا در جستجوی نامها اختلال ایجاد کند، به طوری که مرورگر قربانی به طور مخفیانه به سایتهای جعلی تحت کنترل مهاجم (مثلاً صفحات ورود جعلی) هدایت شود. از آنجا که مرورگر ممکن است همچنان URL مورد انتظار را نمایش دهد، قربانیان میتوانند فریب بخورند و اطلاعات ورود را وارد کنند، در حالی که فکر میکنند در یک سایت قانونی هستند.
اسکن آسیبپذیری و فرصتهای تشدید
آتروپوزیا شامل یک اسکنر است که میزبان آلوده را برای یافتن وصلههای از دست رفته، پیکربندیهای ضعیف و نرمافزارهای قدیمی بررسی میکند. در محیطهای سازمانی، این میتواند اهداف با ارزش بالا - کلاینتهای VPN وصله نشده، اشکالات افزایش امتیاز یا سایر آسیبپذیریها - را آشکار کند که مهاجمان سپس از آنها برای گسترش دسترسی در سراسر شبکه سوءاستفاده میکنند.
ابزارهای تلهمتری سیستم و کنترل از راه دور
فراتر از سرقت دادهها و دسترسی از راه دور به دسکتاپ، این RAT فرادادههای سیستم (آدرسهای IP، نسخه سیستم عامل، موقعیت جغرافیایی و سایر جزئیات محیطی) را جمعآوری میکند، میتواند فرآیندهای در حال اجرا را فهرست و مدیریت کند و از عملیات خاموش کردن و راهاندازی مجدد از راه دور پشتیبانی میکند. این جعبه ابزار همچنین شامل ابزارهای اضافی کماثرتری است که در کنار هم انعطافپذیری عملیاتی گستردهای را فراهم میکنند.
چگونه عفونتها معمولاً رخ میدهند
اسناد مخرب یا مخرب (به عنوان مثال، PDF های آلوده یا سایر پیوست های توزیع شده از طریق ایمیل)
بستههای نرمافزاری غیرقانونی، سوءاستفادههای ناخواسته، تبلیغات فریبنده، طرحهای پشتیبانی فنی جعلی، فایلهای P2P/اشتراکگذاری شده، سایتهای دانلود فریبنده، نصبکنندههای شخص ثالث و کانالهای مشابه
چرا این روشهای انتقال موفق هستند: مهاجمان به مهندسی اجتماعی (اسناد جعلی، دانلودهای وسوسهانگیز یا درخواست اجرای فایلها) یا سوءاستفاده از آسیبپذیریها و نصبکنندههای فریبنده متکی هستند - بیشتر آلودگیها زمانی اتفاق میافتند که کاربر فریب میخورد و بدافزار را اجرا میکند.
خلاصه تأثیر
آتروپوزیا امکان استخراج جامع دادهها (فایلها، اعتبارنامهها، دادههای کلیپبورد، کیف پولهای رمزنگاریشده)، کنترل از راه دور مخفیانه، تغییر مسیر شبکه از طریق دستکاری DNS و شناسایی برای بهرهبرداری بیشتر را فراهم میکند. معماری مخفیانه آن (افزایش امتیاز، ماندگاری، بستهبندی در حافظه، C2 رمزگذاریشده و جلسات از راه دور پنهان) آن را به ویژه برای افراد و سازمانها خطرناک میکند.
پاسخ فوری
اگر به آتروپوزیا مشکوک شدید یا آن را در سیستمی شناسایی کردید، دستگاه را از شبکه جدا کنید، در صورت امکان گزارشها را برای تجزیه و تحلیل نگه دارید و بدافزار را در اسرع وقت حذف کنید. از آنجا که اپراتورها میتوانند از اعتبارنامههای برداشت شده و مسیرهای جانبی استفاده کنند، هرگونه نفوذ را به عنوان یک حمله بالقوه گسترده در نظر بگیرید و تغییر رمزهای عبور، لغو توکنها و انجام تحقیقات داخلی گستردهتر را در نظر بگیرید.
