Atroposia RAT
Atroposia je komercijalno trgovani trojanac za udaljeni pristup (RAT) koji se prodaje na ilegalnim forumima. Svojim operaterima pruža duboku, prikrivenu kontrolu nad kompromitiranim računalima i bogat skup alata za krađu podataka, manipuliranje ponašanjem mreže i ispitivanje sustava u potrazi za daljnjim slabostima. Zbog svojih širokih mogućnosti i značajki izbjegavanja, svaka potvrđena prisutnost Atroposije na uređaju zahtijeva trenutno uklanjanje.
Prijetnja zlonamjernog softvera nudi se potencijalnim 'kupcima' u tri razine plaćanja:
Mjesečna najamnina: 200 USD
Tromjesečno: 500 USD (tri mjeseca)
Polugodišnje: 900 USD (šest mjeseci)
Sadržaj
Prikrivenost, upornost i zapovjedni kanal
Atroposia je napravljena da ostane skrivena. Može automatski eskalirati privilegije (zaobilazeći UAC), koristi više tehnika perzistencije kako bi preživjela ponovna pokretanja i dizajnirana je da izbjegne detekciju antivirusnim programima. Njena komunikacija s operatorskim poslužiteljima za upravljanje i kontrolu je šifrirana, a web-stil upravljačke ploče pojednostavljuje izvršavanje zlonamjernih zadataka čak i za umjereno vješte kriminalce.
Skriveni daljinski upravljač i rukovanje datotekama
Značajka prepoznatljivosti je skrivena komponenta udaljene radne površine (koja se prodaje kao 'HRDP Connect') koja otvara nevidljivu sesiju na računalu žrtve tako da udaljeni akter može komunicirati s radnom površinom bez vidljivih znakova za korisnika. Uz to, Atroposia uključuje upravitelj datoteka koji napadačima omogućuje pregledavanje diskova i mapa, pretraživanje datoteka, preuzimanje, brisanje ili izvršavanje na daljinu.
Masovno prikupljanje i diskretno pakiranje
RAT sadrži program za grabber koji pretražuje datoteke prema ekstenziji ili ključnoj riječi i grupira podudaranja u ZIP datoteku zaštićenu lozinkom. Može sastaviti i pakirati podatke u cijelosti u memoriji ili se osloniti na ugrađene sistemske uslužne programe, minimizirajući preostale artefakte na disku i komplicirajući forenzičko otkrivanje.
Mogućnosti krađe vjerodajnica i novčanika
Atroposijin modul za krađu podataka prikuplja širok raspon osjetljivog materijala: spremljene lozinke preglednika, vjerodajnice iz poslovnih aplikacija i VPN klijenata, podatke iz programa za razmjenu poruka, podatke upravitelja lozinki gdje su dostupni i informacije o novčaniku s kriptovalutama. Također bilježi sadržaj međuspremnika (sve što korisnik kopira ili izreže), bilježi i pohranjuje te unose. Može čak i prebrisati sadržaj međuspremnika kako bi zamijenio kopirane adrese novčanika ili vjerodajnice - tehnika korisna za krađu sredstava ili otmicu računa.
Manipulacija mrežom i otmica DNS-a
Zlonamjerni softver može promijeniti DNS postavke ili na drugi način presresti pretrage imena tako da se preglednik žrtve tiho preusmjerava na lažne web-lokacije kojima upravlja napadač (na primjer, lažne stranice za prijavu). Budući da preglednik i dalje može prikazivati očekivani URL, žrtve se mogu prevariti da unesu vjerodajnice dok misle da su na legitimnoj web-lokaciji.
Skeniranje ranjivosti i mogućnosti eskalacije
Atroposia uključuje skener koji pregledava zaraženi host u potrazi za nedostajućim zakrpama, slabim konfiguracijama i zastarjelim softverom. U poslovnim okruženjima to može otkriti visokovrijedne mete - nezakrpane VPN klijente, greške u eskalaciji privilegija ili druge izloženosti - koje napadači zatim iskorištavaju za proširenje pristupa preko mreže.
Uslužni programi za telemetriju sustava i daljinsko upravljanje
Osim krađe podataka i udaljenog rada na radnoj površini, RAT prikuplja metapodatke sustava (IP adrese, verziju OS-a, geolokaciju i druge detalje o okruženju), može popisati i upravljati pokrenutim procesima te podržava operacije daljinskog isključivanja i ponovnog pokretanja. Alat također uključuje dodatne uslužne programe s manjim utjecajem koji zajedno pružaju široku operativnu fleksibilnost.
Kako se infekcije obično javljaju
Zlonamjerni ili kontaminirani dokumenti (na primjer, zaraženi PDF-ovi ili drugi privitci distribuirani putem e-pošte)
Paketi za softversko piratstvo, lažni exploiti, lažne reklame, lažne sheme tehničke podrške, P2P/dijeljene datoteke, obmanjujuće web-stranice za preuzimanje, instalacijski programi trećih strana i slični kanali
Zašto te metode isporuke uspijevaju: napadači se oslanjaju na društveni inženjering (lažni dokumenti, primamljiva preuzimanja ili zahtjevi za pokretanje datoteka) ili na zlouporabu ranjivosti i obmanjujućih instalacijskih programa - većina infekcija događa se kada se korisnika prevari da pokrene zlonamjerni softver.
Sažetak utjecaja
Atroposia omogućuje sveobuhvatno izvlačenje podataka (datoteke, vjerodajnice, podaci međuspremnika, kripto novčanici), prikriveno daljinsko upravljanje, preusmjeravanje mreže putem manipulacije DNS-om i izviđanje radi daljnje eksploatacije. Njegova prikrivena arhitektura (eskalacija privilegija, perzistentnost, pakiranje u memoriji, šifrirani C2 i skrivene udaljene sesije) čini ga posebno opasnim za pojedince i organizacije.
Trenutni odgovor
Ako se sumnja na Atroposiju ili se ona otkrije na sustavu, isključite uređaj s mreža, sačuvajte zapisnike za analizu ako je moguće i uklonite zlonamjerni softver što je prije moguće. Budući da operateri mogu koristiti prikupljene vjerodajnice i lateralne rute, tretirajte svako kompromitiranje kao potencijalno rašireno i razmislite o rotiranju lozinki, opozivu tokena i provođenju šire interne istrage.
