Atroposia RAT
אטרופוסיה הוא סוס טרויאני לגישה מרחוק (RAT) הנסחר באופן מסחרי, המשווק בפורומים תת-קרקעיים. הוא מספק למפעיליו שליטה עמוקה וחשאית על מכונות פרוצות, וערכת כלים עשירה לגניבת נתונים, מניפולציה של התנהגות הרשת ובדיקת מערכות לאיתור חולשות נוספות. בשל יכולותיו הרחבות ותכונות ההתחמקות שלו, כל נוכחות מאומתת של אטרופוסיה במכשיר דורשת הסרה מיידית.
איום הנוזקה מוצע ל"לקוחות" פוטנציאליים בשלוש רמות תשלום:
שכירות חודשית: 200 דולר
רבעוני: 500 דולר (שלושה חודשים)
חצי שנתי: 900 דולר (שישה חודשים)
תוכן העניינים
התגנבות, התמדה וערוץ פיקוד
Atroposia בנויה להישאר מוסתרת. היא יכולה להעלות באופן אוטומטי הרשאות (עוקפת UAC), משתמשת בטכניקות שמירה מרובות כדי לשרוד אתחול מחדש, ומתוכננת להתחמק מגילוי אנטי-וירוס. התקשורת שלה עם שרתי פקודה ובקרה של המפעיל מוצפנת, ולוח בקרה בסגנון אינטרנט מפשט את ביצוע המשימות הזדוניות אפילו עבור פושעים בעלי מיומנות בינונית.
שלט רחוק נסתר וטיפול בקבצים
תכונת חתימה היא רכיב שולחן עבודה מרוחק מוסתר (המשווק כ-'HRDP Connect') שפותח סשן בלתי נראה במחשב הקורבן, כך ששחקן מרוחק יכול לקיים אינטראקציה עם שולחן העבודה ללא סימנים גלויים למשתמש. בנוסף לכך, Atroposia כוללת מנהל קבצים המאפשר לתוקפים לדפדף בכוננים ותיקיות, לחפש קבצים, להוריד, למחוק או להפעיל אותם מרחוק.
איסוף המוני ואריזה חשאית
ה-RAT מכיל תופס (grabber) שמחפש קבצים לפי סיומת או מילת מפתח ומאגד התאמות לקובץ ZIP המוגן בסיסמה. הוא יכול לאסוף ולארוז נתונים במלואם בזיכרון או להסתמך על כלי עזר מובנים במערכת, ובכך למזער את שאריות הארכיטקטים בדיסק ולסבך את הגילוי הפורנזי.
יכולות גניבת אישורים וארנקים
מודול הגניבה של Atroposia אוסף מגוון רחב של חומר רגיש: סיסמאות דפדפן שנשמרו, אישורים מיישומים עסקיים ולקוחות VPN, נתונים מתוכניות העברת הודעות, נתוני מנהל סיסמאות במידה וזמינים, ומידע על ארנקי מטבעות קריפטוגרפיים. הוא גם לוכד תוכן של הלוח (כל דבר שהמשתמש מעתיק או חותך), רושם ומאחסן ערכים אלה. הוא יכול אפילו להחליף את תוכן הלוח כדי להחליף כתובות ארנק או אישורים שהועתקו - טכניקה שימושית לשאיבת כספים או חטיפת חשבונות.
מניפולציה ברשת וחטיפת DNS
התוכנה הזדונית יכולה לשנות הגדרות DNS או ליירט חיפושי שמות באופן אחר, כך שהדפדפן של הקורבן מופנה בשקט לאתרי מתחזים הנשלטים על ידי התוקף (לדוגמה, דפי כניסה מזויפים). מכיוון שהדפדפן עדיין עשוי להציג את כתובת ה-URL הצפויה, ניתן להונות את הקורבנות ולהזין אישורים תוך כדי שהם חושבים שהם נמצאים באתר לגיטימי.
סריקת פגיעויות והזדמנויות הסלמה
Atroposia כולל סורק שבודק את המארח הנגוע אחר תיקונים חסרים, תצורות חלשות ותוכנה מיושנת. בסביבות ארגוניות, זה יכול לחשוף מטרות בעלות ערך גבוה - לקוחות VPN שלא תוקנו, באגים בהסלמת הרשאות או חשיפות אחרות - שאותן מנצלים התוקפים כדי להרחיב את הגישה ברשת.
טלמטריה של המערכת ושירותי שליטה מרחוק
מעבר לגניבת נתונים ושולחן עבודה מרוחק, ה-RAT אוסף מטא-נתונים של המערכת (כתובות IP, גרסת מערכת הפעלה, מיקום גיאוגרפי ופרטי סביבה אחרים), יכול לפרט ולנהל תהליכים פועלים, ותומך בפעולות כיבוי והפעלה מחדש מרחוק. ערכת הכלים כוללת גם כלי עזר נוספים בעלי השפעה נמוכה יותר, המספקים יחד גמישות תפעולית רחבה.
כיצד מתרחשות זיהומים בדרך כלל
מסמכים זדוניים או נשק (לדוגמה, קבצי PDF נגועים או קבצים מצורפים אחרים המופצים בדוא"ל)
חבילות פיראטיות של תוכנה, ניצול לרעה של קבצים, פרסומות סוררות, תוכניות תמיכה טכנית מזויפות, קבצים משותפים/P2P, אתרי הורדה מטעים, מתקינים של צד שלישי וערוצים דומים.
מדוע שיטות המסירה הללו מצליחות: תוקפים מסתמכים על הנדסה חברתית (מסמכים מזויפים, הורדות מפתות או בקשות להפעלת קבצים) או על ניצול לרעה של פגיעויות ומתקינים מטעים - רוב ההדבקות מתרחשות כאשר משתמש מוטעה להפעיל תוכנה זדונית.
סיכום השפעה
אטרופוסיה מאפשרת חילוץ נתונים מקיף (קבצים, אישורים, נתוני לוח כתיבה, ארנקי קריפטו), שליטה מרחוק חשאית, ניתוב מחדש של רשת באמצעות שיבוש DNS וסיור לצורך ניצול נוסף. הארכיטקטורה החשאית שלה (הסלמת הרשאות, שמירה על נוכחות, אריזה בזיכרון, C2 מוצפן והפעלות מרחוק נסתרות) הופכת אותה למסוכנת במיוחד עבור יחידים וארגונים כאחד.
תגובה מיידית
אם יש חשד או גילוי של אטרופוסיה במערכת, יש לנתק את המכשיר מהרשתות, לשמור יומני רישום לצורך ניתוח במידת האפשר, ולהסיר את התוכנה הזדונית בהקדם האפשרי. מכיוון שמפעילים יכולים להשתמש באישורים שנאספו ובנתיבים רוחביים, יש להתייחס לכל פגיעה כאל פוטנציאל נרחב ולשקול סיבוב סיסמאות, ביטול אסימונים וביצוע חקירה פנימית רחבה יותר.
