FlawedGrace RAT

FlawedGrace पूरी तरह से RAT (रिमोट एक्सेस थ्रेट) का नाम है जो TA505 (या Hive0065) के रूप में ट्रैक किए गए साइबर अपराधियों के आर्थिक रूप से प्रेरित गिरोह के खतरनाक शस्त्रागार का हिस्सा है। यह समूह कम से कम 2014 से सक्रिय है और इसके लिए कई हमले अभियानों को जिम्मेदार ठहराया जा रहा है। TA505 की एक और विशिष्ट विशेषता उनके दोनों TTPs (रणनीति, तकनीक और प्रक्रिया), साथ ही साथ मैलवेयर के खतरे के प्रकारों में लगातार परिवर्तन को लागू करने की प्रवृत्ति है। समूह है किया गया है मनाया बाहर पहुंचाने बड़े पैमाने पर ईमेल स्पैम अभियान ले जाने Dridex ट्रोजन बैंकिंग, वितरण पर जाने से पहले Locky और Jaff Ransomware धमकी, TrickBot ट्रोजन और अधिक बैंकिंग।

FlawedGrace विवरण

पहली बार नवंबर 2017 में इन्फोसेक शोधकर्ताओं द्वारा फ्लेवडग्रेस आरएटी का पता लगाया गया था। यह सी ++ प्रोग्रामिंग भाषा में लिखा गया एक शक्तिशाली आरएटी है। यह पोर्ट 443 का उपयोग करके एक कस्टम बाइनरी प्रोटोकॉल के माध्यम से भेजे गए कमांड-एंड-कंट्रोल सर्वर से कई आने वाली कमांड को पहचानने में सक्षम है। खतरे को अतिरिक्त दूषित मॉड्यूल लाने और फिर उन्हें लोड और निष्पादित करने का निर्देश दिया जा सकता है। यह चुनी हुई फ़ाइलों को डाउनलोड और एक्सफ़िल्टर भी कर सकता है, संवेदनशील उपयोगकर्ता जानकारी, जैसे पासवर्ड और बहुत कुछ एकत्र कर सकता है।

TA505 द्वारा किए गए नवीनतम हमले के संचालन में, FlawedGrace RAT का एक अद्यतन संस्करण तैनात किया गया था। जबकि परिवर्तनों का पूर्ण विश्लेषण अभी भी जारी है, अब तक शोधकर्ताओं ने देखा है कि खतरा अब एन्क्रिप्टेड स्ट्रिंग्स और अस्पष्ट एपीआई कॉलों को नियोजित करता है। एक और अंतर यह पाया गया कि जिस तरह से खतरे ने अपने विन्यास को संग्रहीत किया था। प्रारंभिक या डिफ़ॉल्ट कॉन्फ़िगरेशन सिस्टम पर एन्क्रिप्टेड संसाधन के रूप में संग्रहीत किया जाता है। बाद में, इसे दो भागों में विभाजित किया जाता है - एक मैप किए गए मेमोरी क्षेत्र में रखा गया एक वर्तमान कॉन्फ़िगरेशन इंस्टेंस और सिस्टम की रजिस्ट्री में इंजेक्ट किया गया एक दृढ़ता तंत्र।