PY# RATION RAT
یک کمپین حمله جدید در طبیعت دستگیر شده است. عملیات تهدیدکننده از بدافزار جدید مبتنی بر پایتون به نام PY#RATION RAT استفاده میکند. همانطور که معمولاً در مورد این تروجانهای دسترسی از راه دور (RAT) اتفاق میافتد، PY#RATION دارای مجموعهای جامع از قابلیتهای مضر، از جمله استخراج دادهها و keylogging است. چیزی که این تهدید را منحصربهفرد میکند، استفاده آن از WebSockets برای ارتباطات و خروج فرمان و کنترل (C2, C&C) و همچنین توانایی آن برای فرار از شناسایی از راهحلهای ضد بدافزار و اقدامات امنیتی شبکه است.
جزئیات مربوط به PY#RATION RAT در گزارشی توسط محققان امنیت سایبری فاش شده است. بر اساس یافتههای آنها، مجرمان سایبری پشت این تهدید بیشتر بر روی اهدافی در بریتانیا یا آمریکای شمالی متمرکز شدهاند، با قضاوت در مورد فریبهای فیشینگ که به عنوان بخشی از حمله استفاده میشود.
زنجیره حمله PY# RATION
حمله با یک ایمیل فیشینگ فریبنده حاوی یک آرشیو ZIP آغاز می شود. در داخل بایگانی دو فایل میانبر (.LNK) وجود دارد که به عنوان تصاویر جلو و پشت گواهینامه رانندگی ظاهراً واقعی بریتانیا هستند. پس از باز کردن هر یک از این فایل های .LNK، دو فایل متنی از یک سرور راه دور بازیابی می شوند و سپس به عنوان فایل های .BAT ذخیره می شوند.
در حالی که تصاویر فریب به قربانی نشان داده می شود، فایل های مضر به صورت بی صدا در پس زمینه سیستم اجرا می شوند. علاوه بر این، اسکریپت دستهای دیگر از سرور C2 دانلود میشود که بارهای دیگری را دریافت میکند، از جمله یک باینری پایتون به نام «CortanaAssistance.exe». استفاده از کورتانا، دستیار مجازی مایکروسافت، به این معنی است که مهاجمان ممکن است سعی کرده باشند کد خراب خود را به عنوان یک فایل سیستمی قانونی پنهان کنند.
قابلیتهای آسیبرسان PY#RATION RAT
دو نسخه تروجان PY#RATION شناسایی شده است (نسخه 1.0 و 1.6). نسخه جدیدتر شامل نزدیک به 1000 خط کد اضافی است که ویژگیهای اسکن شبکه را برای بررسی شبکههای در معرض خطر و یک لایه رمزگذاری روی کد پایتون با استفاده از ماژول fernet اضافه میکند. علاوه بر این، این تهدید میتواند فایلها را از میزبان نقض شده به سرور C2 خود و برعکس انتقال دهد.
RAT می تواند شروع به ضبط ضربه های کلید، اجرای دستورات سیستم، استخراج رمزهای عبور و کوکی ها از مرورگرهای وب، گرفتن داده های کلیپ بورد و تشخیص وجود نرم افزارهای امنیتی کند. بازیگران تهدید میتوانند از PY#RATION به عنوان دروازهای برای استقرار بارهای تهدیدات دیگر استفاده کنند، مانند یک سارق اطلاعات دیگر مبتنی بر پایتون که به صراحت برای جمعآوری دادهها از مرورگرهای وب و کیف پولهای ارزهای دیجیتال ایجاد شده است.