Atroposia-rotta
Atroposia on kaupallisesti myytävä etäkäyttötroijalainen (RAT), jota markkinoidaan maanalaisilla foorumeilla. Se tarjoaa käyttäjilleen syvällisen ja huomaamattoman hallinnan vaarantuneisiin koneisiin sekä monipuolisen työkalupakin tietojen varastamiseen, verkon toiminnan manipulointiin ja järjestelmien heikkouksien etsimiseen. Laajojen ominaisuuksiensa ja väistöominaisuuksiensa ansiosta kaikki Atroposian vahvistetut esiintymiset laitteella vaativat välittömän poistamisen.
Haittaohjelmauhkaa tarjotaan potentiaalisille "asiakkaille" kolmella maksutasolla:
Kuukausivuokra: 200 dollaria
Neljännesvuosittain: 500 dollaria (kolme kuukautta)
Puolivuosittainen: 900 dollaria (kuusi kuukautta)
Sisällysluettelo
Hiiviskely, pysyvyys ja komentokanava
Atroposia on rakennettu pysymään piilossa. Se voi automaattisesti laajentaa käyttöoikeuksia (ohittaen käyttäjien valvonnan), käyttää useita pysyvyystekniikoita, jotta se selviää uudelleenkäynnistyksissä, ja on suunniteltu välttämään virustorjuntaohjelmien havaitsemisen. Sen viestintä operaattorin komento- ja ohjauspalvelimien kanssa on salattu, ja verkkotyylinen ohjauspaneeli yksinkertaistaa haitallisten tehtävien suorittamista jopa kohtalaisen taitaville rikollisille.
Piilotettu kaukosäädin ja tiedostojen käsittely
Allekirjoitusominaisuus on piilotettu etätyöpöytäkomponentti (markkinoidaan nimellä 'HRDP Connect'), joka avaa näkymättömän istunnon uhrikoneella, jotta etätoimija voi olla vuorovaikutuksessa työpöydän kanssa ilman käyttäjälle näkyviä merkkejä. Tätä täydentää Atroposia, joka sisältää tiedostonhallinnan, jonka avulla hyökkääjät voivat selata asemia ja kansioita, etsiä tiedostoja, ladata, poistaa tai suorittaa niitä etänä.
Massakeräys ja huomaamaton pakkaus
RAT sisältää kaappaajan, joka etsii tiedostoja tiedostopäätteen tai avainsanan perusteella ja niputtaa osumat salasanasuojattuun ZIP-tiedostoon. Se voi koota ja pakata tiedot kokonaan muistiin tai hyödyntää sisäänrakennettuja järjestelmätyökaluja, mikä minimoi levylle jäävien artefakttien määrän ja vaikeuttaa rikostutkintaa.
Tunnistetietojen ja lompakon varkausominaisuudet
Atroposian varastusmoduuli kerää laajan valikoiman arkaluontoista materiaalia: tallennettuja selainsalasanoja, yrityssovellusten ja VPN-asiakasohjelmien tunnistetietoja, tietoja viestiohjelmista, salasananhallintatietoja (jos saatavilla) ja kryptovaluuttalompakoiden tietoja. Se myös tallentaa leikepöydän sisällön (kaiken, mitä käyttäjä kopioi tai leikkaa), lokitiedot ja tallentaa nämä merkinnät. Se voi jopa korvata leikepöydän sisällön kopioiduilla lompakko-osoitteilla tai tunnistetiedoilla – tekniikka, joka on hyödyllinen varojen kaappaamiseen tai tilien kaappaamiseen.
Verkon manipulointi ja DNS-kaappaus
Haittaohjelma voi muuttaa DNS-asetuksia tai muuten siepata nimihakuja siten, että uhrin selain ohjataan huomaamattomasti hyökkääjän hallitsemille huijaussivustoille (esimerkiksi väärennetyille kirjautumissivuille). Koska selain saattaa silti näyttää odotetun URL-osoitteen, uhrit voidaan huijata antamaan tunnistetiedot luullen olevansa laillisella sivustolla.
Haavoittuvuuksien skannaus ja eskalointimahdollisuudet
Atroposiaan kuuluu skanneri, joka tarkistaa tartunnan saaneen isännän puuttuvien korjauspäivitysten, heikkojen kokoonpanojen ja vanhentuneiden ohjelmistojen varalta. Yritysympäristöissä tämä voi paljastaa arvokkaita kohteita – korjaamattomia VPN-asiakkaita, käyttöoikeuksien eskalointivirheitä tai muita riskejä – joita hyökkääjät sitten hyödyntävät laajentaakseen pääsyä verkkoon.
Järjestelmän telemetria- ja etäohjausapuohjelmat
Tietojen varastamisen ja etätyöpöydän lisäksi RAT kerää järjestelmän metatietoja (IP-osoitteet, käyttöjärjestelmän versio, maantieteellinen sijainti ja muut ympäristötiedot), voi listata ja hallita käynnissä olevia prosesseja sekä tukee etäsammutus- ja uudelleenkäynnistystoimintoja. Työkalupakki sisältää myös muita, vähemmän vaikutusta aiheuttavia apuohjelmia, jotka yhdessä tarjoavat laajan toiminnallisen joustavuuden.
Miten infektiot tyypillisesti esiintyvät
Haitalliset tai aseeksi muutetut asiakirjat (esimerkiksi sähköpostitse jaetut tartunnan saaneet PDF-tiedostot tai muut liitteet)
Ohjelmistopiratismipaketit, drive-by-hyökkäykset, haitalliset mainokset, väärennetyt tekniset tukijärjestelmät, P2P/jaetut tiedostot, harhaanjohtavat lataussivustot, kolmannen osapuolen asennusohjelmat ja vastaavat kanavat
Miksi nämä jakelumenetelmät menestyvät: hyökkääjät käyttävät sosiaalista manipulointia (väärennetyt asiakirjat, houkuttelevat lataukset tai tiedostojen suorittamispyynnöt) tai haavoittuvuuksien ja harhaanjohtavien asennusohjelmien väärinkäyttöä – useimmat tartunnat tapahtuvat, kun käyttäjä huijataan suorittamaan haittaohjelmia.
Vaikutusten yhteenveto
Atroposia mahdollistaa kattavan tiedonsiirron (tiedostot, tunnistetiedot, leikepöydän tiedot, kryptolompakot), salaisen etähallinnan, verkon uudelleenohjauksen DNS-peukaloinnin avulla ja tiedustelun jatkohyödyntämiseksi. Sen huomaamaton arkkitehtuuri (oikeuksien eskalointi, pysyvyys, muistissa pakkaaminen, salattu C2 ja piilotetut etäistunnot) tekee siitä erityisen vaarallisen sekä yksilöille että organisaatioille.
Välitön vastaus
Jos järjestelmässä epäillään tai havaitaan Atroposiaa, irrota laite verkoista, säilytä lokit analysointia varten, jos mahdollista, ja poista haittaohjelma mahdollisimman pian. Koska operaattorit voivat käyttää kerättyjä tunnistetietoja ja sivureittejä, käsittele kaikkea tietomurtoa mahdollisesti laajalle levinneenä ja harkitse salasanojen vaihtamista, tokeneiden peruuttamista ja laajemman sisäisen tutkinnan suorittamista.
