ApolloRAT

ApolloRAT on nimensä mukaisesti etäkäyttötroijalainen (RAT). Uhka luotiin Python-ohjelmointikielellä ja se on varustettu suurella joukolla haitallisia toimintoja. Kuten useimmat tämän tyyppiset uhat, ApolloRAT voi tarjota hyökkääjille etäyhteyden rikotun laitteen käyttöön. Myöhemmin hakkerit voivat jatkaa mielivaltaisten komentotulkkikomentojen suorittamista järjestelmässä, saada sen sammumaan tai käynnistymään uudelleen ja jopa laukaista kriittisen järjestelmävirheen.

Hyökkääjien erityisistä tavoitteista riippuen ApolloRAT voidaan ohjeistaa keräämään suuria määriä tietoa tartunnan saaneesta järjestelmästä. Kerätyt tiedot voivat sisältää IP-osoitteen, selaushistorian, Wi-Fi-salasanat, uhrin selaimista poimitut salasanat ja paljon muuta. Haittaohjelmat voivat myös manipuloida tiedostojärjestelmää lataamalla lisätiedostoja tai lähettämällä valittuja tiedostoja, jolloin verkkorikolliset voivat toimittaa seuraavan vaiheen uhkaavia hyötykuormia laitteelle tai hankkia arkaluonteisia ja luottamuksellisia tietoja. ApolloRAT voi myös ottaa kuvakaappauksia, näyttää viestejä tai toistaa tekstistä puheeksi -ääntä. Uhkatoimijat voivat käyttää ApolloRATia osana tietojenkalastelujärjestelmiä. Haittaohjelma voi näyttää väärennettyjä sovellusliittymiä tai PDF-dokumentteja.

On huomattava, että ApolloRATilla on useita havaitsemisen estotekniikoita. Ensinnäkin se on käännetty Nuitka lähteestä kurssiin -kääntäjällä, mikä tekee käänteissuunnittelusta paljon vaikeampaa, koska Nuitka ei ole yleinen valinta kyberrikollisten keskuudessa. Uhka voi etsiä merkkejä siitä, että se on käynnissä virtuaaliympäristössä, poistaa käytöstä Windows Defenderin ja palomuurin sekä Windowsin Tehtävienhallinnan. Discord-viestintäalustan käyttö Command-and-Control (C&C) -palvelimena haittaa edelleen haittaohjelmien havaitsemista.