CetaRAT
CetaRAT एक रिमोट एक्सेस ट्रोजन (RAT) खतरा है जिसे C# प्रोग्रामिंग भाषा का उपयोग करके लिखा गया है। इसका मुख्य कार्य जासूसी गतिविधियों को अंजाम देना है जहां यह कटाई करता है और फिर समझौता मशीनों से संवेदनशील डेटा को बाहर निकालता है। खतरे को सबसे पहले इंफोसेक समुदाय द्वारा देखा गया था जब इसे अभी भी चल रहे ऑपरेशन साइडकॉपी में तैनात किया गया था, जो भारतीय रक्षा बलों और सशस्त्र बलों के कर्मियों को लक्षित करने वाला एक हमला अभियान था। तब से, CetaRAT अपनी पहुंच का विस्तार कर रहा है और भारत सरकार की एजेंसियों के खिलाफ अतिरिक्त हमलों में इसका लाभ उठाया जा रहा है।
अटैक चेन
CetaRAT की संक्रमण शृंखला की शुरुआत स्पीयर-फ़िशिंग ईमेल के वितरण से होती है जिसमें हथियारयुक्त अटैचमेंट होता है। दूषित अनुलग्नक एक ज़िप संग्रह का रूप ले सकते हैं जो एक दूरस्थ URL से एक HTA फ़ाइल प्राप्त करता है। HTA फ़ाइल को निष्पादित करने से CetaRAT का खतरा पीड़ित की मशीन पर पहुंच जाता है। अब तक दो अलग-अलग तरीकों को देखा गया है।
पहले में, HTA फ़ाइल शुरू होने के बाद, यह 'C:\ProgramData' स्थान पर रखी गई एक JavaScript फ़ाइल बनाने और निष्पादित करने के लिए आगे बढ़ती है। स्क्रिप्ट पहले से न सोचा पीड़ित को इस तथ्य से विचलित करने के लिए एक फंदा दस्तावेज़ दिखाने के लिए जिम्मेदार है कि सिस्टम के स्टार्टअप स्थान पर CetaRAT पेलोड गिराया जा रहा है। फर्जी दस्तावेजों में आमतौर पर क्षेत्र और विशेष रूप से भारत से संबंधित प्रासंगिक विषय के बारे में जानकारी होती है।
दूसरी विधि समझौता किए गए डिवाइस के सी ड्राइव पर बेतरतीब ढंग से नामित फ़ोल्डर में छोड़ी गई बैच फ़ाइलों के निर्माण और निष्पादन को देखती है। अगला कदम CetaRAT के पेलोड की ओर इशारा करते हुए HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run पर एक रजिस्ट्री प्रविष्टि जोड़ना है। इस स्थिति में, खतरे की निष्पादन योग्य फ़ाइल '%AppData/Roaming%' फ़ोल्डर में स्थित होती है।
एकत्रित डेटा
CetaRAT अपनी मुख्य कार्यक्षमता को सक्रिय करने से पहले, खतरा सभी चल रहे AV समाधानों के लिए एक स्कैन करता है और अधिग्रहीत विवरण अपने कमांड-ए-कंट्रोल (C2, C&C) सर्वर को भेजता है। उसके बाद, यह कंप्यूटर का नाम, आईपी पता, मेमोरी विवरण, प्रोसेसर की जानकारी, ओएस डेटा और अधिक सहित विभिन्न सिस्टम विवरण एकत्र करना शुरू कर देता है।
जब समझौता किए गए डिवाइस के बारे में प्रारंभिक जानकारी प्रेषित की गई है, तो CetaRAT अतिरिक्त आदेशों की प्रतीक्षा करेगा। धमकी देने वाला अभिनेता आरएटी को अतिरिक्त पेलोड लाने और उन्हें निष्पादित करने, पीड़ित की फाइल सिस्टम में हेरफेर करने, मनमाने स्क्रीनशॉट लेने, मनमाने आदेश और अन्य दखल देने वाली कार्रवाइयों को निष्पादित करने का निर्देश दे सकता है। C2 सर्वर पर ट्रांसमिट करने से पहले सभी काटे गए डेटा को RC4 एल्गोरिथम के साथ एन्क्रिप्ट किया गया है।
