RATICATE

A rosszindulatú programok szakértői egy új hackercsoportot észleltek, amely úgy tűnik, a RAT-okra (Remote Access Trojans) specializálódott. Emiatt a kiberbűnözők csoportja a RATicate nevet kapta. A RATicate hackercsoport azonban más fenyegetéseket is használ, például hátsó ajtókat és infolopókat. A RATicate csoport először 2019-ben jelent meg, és azóta számos nagy horderejű támadást hajtott végre. A RATicate csoport egyetlen infrastruktúrára támaszkodik minden támadása során, függetlenül a telepített hackereszközöktől. Ez lehetővé tette a rosszindulatú programok elemzői számára, hogy megállapítsák, 2019 novembere és 2020 januárja között a RATicate hackercsoport öt nagyszabású RAT-műveletet hajtott végre.

A RATicate csoportos kampányok többsége Dél-Koreára, Európára és a Közel-Keleten összpontosul. A RATicate csoport célpontjai a különböző iparágakban működő vállalkozások. A 2020 januárjában lezajlott tömeges akció után a RATicate csoport egy ideig elhallgatott, mígnem egy koronavírus témájú akcióval ismét reflektorfénybe került. Legújabb kampányukkal több különböző RAT-ot szállítottak adathalászati technikák segítségével. Számos internetes szélhámos használ COVID-19 témájú tartalmat adathalászatra, ezért legyen nagyon óvatos, ha e-mailt kap a járványról. Valószínűleg egy sémáról vagy más fenyegető tartalomról van szó, amellyel semmilyen körülmények között nem szabad kapcsolatba lépnie.

A RATicate hackercsoport aláírási lépései közé tartozik az NSIS telepítőinek használata. Az NSIS segédprogram egy legitim eszköz, amellyel a fejlesztők telepítőket készítenek különböző alkalmazásokhoz. Az a tény, hogy az NSIS segédprogram moduláris felépítésű, lehetővé teszi a támadók számára, hogy módosítsák a funkcionalitást további bővítmények és szolgáltatások hozzáadásával. A RATicate hackercsoport valószínűleg ezt a funkciót fogja használni a telepítők funkcióinak kiterjesztésére, és lehetővé teszi számukra, hogy:

• Öld meg az aktív folyamatokat.
• Tömörítse ki a fájlokat.
• Sérült DLL-ek (Dynamic Link Libraries) betöltése.
• Parancsok végrehajtása.

A RATicate csoport kampányainak többsége olyan jól ismert hackereszközöket alkalmaz , mint a Betabot, NetWire RAT , Agent Tesla , Lokibot , Remcos RAT , Formbook stb. Mivel a RATicate kiberbűnözők népszerű hackelőeszközöket használnak végső rakományként, egy jó hírű, a jelenlegi rosszindulatú programok elleni megoldás képes lesz megvédeni a rendszert.