דרג
מומחי תוכנות זדוניות הבחינו בקבוצת פריצה חדשה שנראה כי מתמחה ב-RATs (סוסי גישה מרחוק). בשל כך, קבוצת פשעי הסייבר קיבלה את השם RATicate. עם זאת, קבוצת הפריצה RATicate משתמשת באיומים אחרים, כגון דלתות אחוריות וגנבי מידע. קבוצת RATicate הופיעה לראשונה ב-2019 ומאז ביצעה מספר התקפות בפרופיל גבוה. קבוצת RATicate מסתמכת על תשתית אחת עבור כל ההתקפות שלה, ללא קשר לכלי הפריצה שנפרסו. זה אפשר לאנליסטים של תוכנות זדוניות לקבוע שבין נובמבר 2019 לינואר 2020, קבוצת הפריצה RATicate ביצעה חמש פעולות RAT בקנה מידה גדול.
רוב הקמפיינים של קבוצת RATicate מרוכזים בדרום קוריאה, אירופה והמזרח התיכון. היעדים של קבוצת RATicate הם עסקים הפועלים בתעשיות שונות. לאחר המבצע ההמוני שהתקיים בינואר 2020, קבוצת RATicate שתקה לזמן מה עד שחזרה לאור הזרקורים עם מבצע בנושא נגיף הקורונה. הקמפיין האחרון שלהם שימש כדי לספק מספר RATs שונים באמצעות טכניקות דיוג. נוכלי סייבר רבים משתמשים בתוכן בנושא COVID-19 כדי להתחזות למשתמשים, אז היזהר מאוד אם אתה מקבל אימייל בנוגע למגיפה. סביר להניח שזה עשוי להיות תוכנית או תוכן מאיים אחר, שאסור לך ליצור איתו אינטראקציה בשום פנים ואופן.
בין מהלכי החתימה של קבוצת הפריצה RATicate הוא השימוש במתקינים של NSIS. כלי השירות NSIS הוא כלי לגיטימי שמפתחים משתמשים בו כדי ליצור מתקינים עבור יישומים שונים. העובדה שלכלי השירות NSIS יש מבנה מודולרי מאפשרת לתוקפים לשנות את הפונקציונליות שלו על ידי הוספת תוספים ותכונות נוספות. קבוצת הפריצה RATicate עשויה להשתמש בפונקציונליות זו כדי להרחיב את תכונות המתקינים ולאפשר להם:
- להרוג תהליכים פעילים.
- שחרור קבצים.
- טען קובצי DLL פגומים (ספריות קישור דינמיות).
- בצע פקודות.
רוב הקמפיינים של קבוצת RATicate פורסים כלי פריצה ידועים כמו Betabot , NetWire RAT , Agent Tesla , Lokibot , Remcos RAT , Formbook וכו'. מאחר שנוכלי הסייבר של RATicate משתמשים בכלי פריצה פופולריים כמטען סופי, גורם מכובד ומעלה- פתרון עדכני נגד תוכנות זדוניות יוכל להגן על המערכת שלך.
