Atroposia RAT
Az Atroposia egy kereskedelmi forgalomban kapható távoli hozzáférésű trójai (RAT), amelyet földalatti fórumokon forgalmaznak. Mélyreható, lopakodó kontrollt biztosít üzemeltetőinek a feltört gépek felett, valamint gazdag eszközkészletet biztosít az adatok ellopására, a hálózati viselkedés manipulálására és a rendszerek további gyengeségeinek felkutatására. Széleskörű képességei és megkerülési funkciói miatt az Atroposia bármilyen megerősített jelenléte egy eszközön azonnal eltávolítást igényel.
A rosszindulatú fenyegetést három fizetési szinten kínálják a potenciális „ügyfeleknek”:
Havi bérleti díj: 200 dollár
Negyedévente: 500 dollár (három hónap)
Féléves: 900 dollár (hat hónap)
Tartalomjegyzék
Lopakodás, kitartás és parancscsatorna
Az Atroposia úgy lett kialakítva, hogy rejtve maradjon. Automatikusan képes növelni a jogosultságokat (megkerülve az UAC-t), több megőrzési technikát alkalmaz, hogy túlélje az újraindításokat, és úgy tervezték, hogy elkerülje a víruskereső észlelését. A kezelői parancs- és vezérlőszerverekkel folytatott kommunikációja titkosított, és a webes stílusú vezérlőpult leegyszerűsíti a rosszindulatú feladatok végrehajtását még a közepesen képzett bűnözők számára is.
Rejtett távirányító és fájlkezelés
Egy jellegzetes funkció egy rejtett távoli asztali komponens („HRDP Connect” néven forgalmazzák), amely egy láthatatlan munkamenetet nyit az áldozat gépén, így a távoli szereplő a felhasználó számára látható jelek nélkül kommunikálhat az asztallal. Ezt kiegészítve az Atroposia egy fájlkezelőt is tartalmaz, amely lehetővé teszi a támadók számára, hogy böngésszenek a meghajtók és mappák között, fájlokat keressenek, letöltsék, töröljék vagy távolról végrehajtsák azokat.
Tömeges gyűjtés és rejtett csomagolás
A RAT tartalmaz egy grabbert, amely kiterjesztés vagy kulcsszó alapján keres fájlokat, és a találatokat egy jelszóval védett ZIP fájlba csomagolja. Az adatokat teljes egészében a memóriában vagy a beépített rendszer segédprogramokra támaszkodva képes összegyűjteni és csomagolni, minimalizálva a lemezen maradó hibákat és bonyolítva a kriminalisztikai felderítést.
Hitelesítő adatok és pénztárca lopási képességek
Az Atroposia adatlopó modulja számos érzékeny anyagot gyűjt be: mentett böngészőjelszavakat, üzleti alkalmazások és VPN-kliensek hitelesítő adatait, üzenetküldő programok adatait, jelszókezelő adatokat (ahol elérhetők), valamint kriptovaluta-tárcainformációkat. Emellett rögzíti a vágólap tartalmát (bármit, amit a felhasználó lemásol vagy kivág), naplózza és tárolja ezeket a bejegyzéseket. Akár felül is írja a vágólap tartalmát, hogy lecserélje a másolt tárcacímeket vagy hitelesítő adatokat – ez a technika hasznos a pénzeszközök elsikkasztására vagy a fiókok eltérítésére.
Hálózati manipuláció és DNS-eltérítés
A rosszindulatú program képes megváltoztatni a DNS-beállításokat, vagy más módon elfogni a névkereséseket, így az áldozat böngészőjét észrevétlenül átirányítja a támadó által irányított csaló oldalakra (például hamis bejelentkezési oldalakra). Mivel a böngésző továbbra is megjelenítheti a várt URL-címet, az áldozatok becsaphatók, és hitelesítő adatokat adhatnak meg, miközben azt hiszik, hogy egy legitim oldalon vannak.
Sebezhetőségi vizsgálat és eszkalációs lehetőségek
Az Atroposia tartalmaz egy szkennert, amely a fertőzött gazdagépet vizsgálja hiányzó javítások, gyenge konfigurációk és elavult szoftverek után. Vállalati környezetekben ez feltárhatja a nagy értékű célpontokat – nem javított VPN-klienseket, privilégiumok eszkalációs hibáit vagy egyéb kockázatokat –, amelyeket a támadók kihasználhatnak a hálózaton belüli hozzáférés bővítésére.
Rendszer telemetria és távvezérlő segédprogramok
Az adatlopáson és a távoli asztalon túl a RAT rendszer metaadatokat (IP-címek, operációs rendszer verziója, geolokáció és egyéb környezeti adatok) gyűjt, listázni és kezelni tudja a futó folyamatokat, valamint támogatja a távoli leállítási és újraindítási műveleteket. Az eszközkészlet további, kisebb környezeti terhelésű segédprogramokat is tartalmaz, amelyek együttesen széleskörű működési rugalmasságot biztosítanak.
Hogyan történnek jellemzően a fertőzések
Kártékony vagy fegyverként használt dokumentumok (például fertőzött PDF-ek vagy más, e-mailben terjesztett mellékletek)
Szoftverkalóz csomagok, drive-by sebezhetőségeket kihasználó támadások, csaló hirdetések, hamis technikai támogatási rendszerek, P2P/megosztott fájlok, megtévesztő letöltőoldalak, harmadik féltől származó telepítők és hasonló csatornák
Miért sikeresek ezek a kézbesítési módszerek: a támadók társadalmi manipulációra (hamis dokumentumok, csábító letöltések vagy fájlok futtatására irányuló kérések) vagy sebezhetőségek és megtévesztő telepítők kihasználására támaszkodnak – a legtöbb fertőzés akkor történik, amikor a felhasználót ráveszik a rosszindulatú program futtatására.
Hatásösszefoglaló
Az Atroposia lehetővé teszi az adatok átfogó kiszűrését (fájlok, hitelesítő adatok, vágólapadatok, kriptovaluta-tárcák), a titkosított távvezérlést, a hálózati átirányítást DNS-manipuláció révén, valamint a további kihasználás céljából történő felderítést. Lopakodó architektúrája (privilégiumok eszkalációja, adatmegőrzés, memórián belüli csomagolás, titkosított C2 és rejtett távoli munkamenetek) különösen veszélyessé teszi mind az egyének, mind a szervezetek számára.
Azonnali válasz
Ha atropózis gyanúja merül fel vagy azt észlelik egy rendszeren, válassza le az eszközt a hálózatokról, lehetőség szerint őrizze meg a naplókat elemzés céljából, és a lehető leghamarabb távolítsa el a rosszindulatú programot. Mivel az operátorok felhasználhatják a begyűjtött hitelesítő adatokat és az oldalirányú útvonalakat, minden kompromittálódást potenciálisan széles körűnek kell tekinteni, és fontolja meg a jelszavak cseréjét, a tokenek visszavonását és szélesebb körű belső vizsgálat lefolytatását.
