RATicate

Haittaohjelmaasiantuntijat ovat havainneet uuden hakkerointiryhmän, joka näyttää erikoistuneen RAT:iin (Remote Access Trojans). Tästä johtuen kyberrikollisryhmälle on annettu nimi RATicate. RATicate-hakkerointiryhmä käyttää kuitenkin muita uhkia, kuten takaovia ja infovarkaita. RATicate-ryhmä syntyi ensimmäisen kerran vuonna 2019 ja on sittemmin tehnyt useita korkean profiilin hyökkäyksiä. RATicate-ryhmä luottaa yhteen infrastruktuuriin kaikissa hyökkäyksissään käytetyistä hakkerointityökaluista riippumatta. Tämän ansiosta haittaohjelmaanalyytikot pystyivät määrittämään, että marraskuun 2019 ja tammikuun 2020 välisenä aikana RATicate-hakkerointiryhmä on suorittanut viisi laajamittaista RAT-operaatiota.

Suurin osa RATicate-ryhmän kampanjoista keskittyy Etelä-Koreaan, Eurooppaan ja Lähi-itään. RATicate-ryhmän kohderyhmänä ovat eri toimialoilla toimivat yritykset. Tammikuussa 2020 tapahtuneen massaleikkauksen jälkeen RATicate-ryhmä vaikeni hetkeksi, kunnes palasi valokeilaan koronavirus-aiheisella leikkauksella. Heidän uusinta kampanjaansa käytettiin useiden erilaisten RAT:ien toimittamiseen tietojenkalastelutekniikoiden avulla. Lukuisat kyberrikolliset käyttävät COVID-19-aiheista sisältöä tietojen kalasteluun, joten ole erittäin varovainen, jos saat pandemiaa koskevan sähköpostiviestin. On todennäköistä, että kyseessä voi olla juoni tai muu uhkaava sisältö, jonka kanssa sinun ei pitäisi olla vuorovaikutuksessa missään olosuhteissa.

RATicate-hakkerointiryhmän tunnusmerkkien joukossa on NSIS-asennusohjelmien käyttö. NSIS-apuohjelma on laillinen työkalu, jota kehittäjät käyttävät asentajien luomiseen eri sovelluksiin. Koska NSIS-apuohjelmalla on modulaarinen rakenne, hyökkääjät voivat muokata sen toimintoja lisäämällä ylimääräisiä laajennuksia ja ominaisuuksia. RATicate-hakkerointiryhmä käyttää todennäköisesti tätä toimintoa laajentaakseen asentajien ominaisuuksia ja antaakseen heille mahdollisuuden:

• Tappaa aktiiviset prosessit.
• Pura tiedostot.
• Lataa vioittuneet DLL-tiedostot (Dynamic Link Libraries).
• Suorita komennot.

Suurin osa RATicate-ryhmän kampanjoista käyttää tunnettuja hakkerointityökaluja, kuten Betabot , NetWire RAT , Agent Tesla , Lokibot , Remcos RAT , Formbook jne. Koska RATicate-verkkorikolliset käyttävät suosittuja hakkerointityökaluja lopullisina hyötykuormina, hyvämaineinen, nykyinen haittaohjelmien torjuntaratkaisu pystyy suojaamaan järjestelmääsi.