CetaRAT
CetaRAT on Remote Access Trojan (RAT) -uhka, joka on kirjoitettu C#-ohjelmointikielellä. Sen päätehtävä on suorittaa vakoilutoimia, joissa se kerää ja sitten suodattaa arkaluontoisia tietoja vaarantuneista koneista. Infosec-yhteisö huomasi uhan ensimmäisen kerran, kun se otettiin käyttöön edelleen käynnissä olevassa Operation SideCopyssa, Intian puolustusvoimien ja asevoimien henkilöstöön kohdistuvassa hyökkäyskampanjassa. Siitä lähtien CetaRAT on laajentanut kattavuuttaan ja hyödyntänyt uusia hyökkäyksiä Intian valtion virastoja vastaan.
Hyökkäysketju
CetaRATin tartuntaketju alkaa keihäs-phishing-sähköpostien jakamisesta, joissa on aseellinen liite. Vioittuneet liitteet voivat olla ZIP-arkiston muodossa, joka hakee HTA-tiedoston etä-URL-osoitteesta. HTA-tiedoston suorittaminen siirtää CetaRATin uhan uhrin koneelle. Tähän mennessä on havaittu kaksi erilaista menetelmää.
Ensimmäisessä, kun HTA-tiedosto on aloitettu, se etenee luomaan ja suorittamaan JavaScript-tiedoston, joka on sijoitettu C:\ProgramData-sijaintiin. Käsikirjoitus on vastuussa houkutusasiakirjan näyttämisestä pahaa-aavistamattomalle uhrille, jotta tämä häiritsee häntä siitä, että CetaRAT-hyötykuorma pudotetaan järjestelmän käynnistyspaikkaan. Viestiasiakirjoissa on yleensä tietoa aluetta ja erityisesti Intiaa koskevasta oleellisesta aiheesta.
Toinen menetelmä luo ja suoritetaan erätiedostot, jotka pudotetaan satunnaisesti nimettyyn kansioon vaarantuneen laitteen C-asemalla. Seuraava vaihe on lisätä CetaRATin hyötykuormaan osoittava rekisterimerkintä hakemistoon HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Tässä tapauksessa uhan suoritettava tiedosto sijaitsee %AppData/Roaming%-kansiossa.
Kerätyt tiedot
Ennen kuin CetaRAT aktivoi päätoimintonsa, uhka tarkistaa kaikki käynnissä olevat AV-ratkaisut ja lähettää hankitut tiedot Command-an-Control (C2, C&C) -palvelimelleen. Sen jälkeen se alkaa kerätä erilaisia järjestelmätietoja, mukaan lukien tietokoneen nimi, IP-osoite, muistitiedot, prosessoritiedot, käyttöjärjestelmätiedot ja paljon muuta.
Kun alustavat tiedot vaarantuneesta laitteesta on lähetetty, CetaRAT odottaa lisäkomentoja. Uhkatoimija voi käskeä RAT:ia hakemaan lisää hyötykuormia ja suorittamaan ne, manipuloimaan uhrin tiedostojärjestelmää, ottamaan mielivaltaisia kuvakaappauksia, suorittamaan mielivaltaisia komentoja ja muita häiritseviä toimia. Kaikki kerätyt tiedot salataan RC4-algoritmilla ennen kuin ne lähetetään C2-palvelimelle.
