CetaRAT

CetaRAT è una minaccia Remote Access Trojan (RAT) scritta utilizzando il linguaggio di programmazione C#. La sua funzione principale è svolgere attività di spionaggio in cui raccoglie e quindi esfiltra dati sensibili dalle macchine compromesse. La minaccia è stata notata per la prima volta dalla comunità infosec quando è stata schierata nell'operazione SideCopy, una campagna di attacco ancora in corso contro le forze di difesa indiane e il personale delle forze armate. Da allora, CetaRAT ha ampliato la sua portata ed è stato sfruttato in ulteriori attacchi contro le agenzie governative indiane.

Catena d'attacco

La catena di infezioni di CetaRAT inizia con la distribuzione di e-mail di spear-phishing contenenti un allegato armato. Gli allegati danneggiati possono assumere la forma di un archivio ZIP che recupera un file HTA da un URL remoto. L'esecuzione del file HTA trasmette la minaccia del CetaRAT alla macchina della vittima. Finora sono stati osservati due metodi diversi.

Nella prima, dopo l'avvio del file HTA, si procede alla creazione ed esecuzione di un file JavaScript collocato nella posizione 'C:\ProgramData'. Lo script è responsabile della visualizzazione di un documento esca alla vittima ignara per distrarla dal fatto che il carico utile di CetaRAT viene rilasciato nella posizione di avvio del sistema. I documenti esca di solito contengono informazioni su un argomento rilevante riguardante la regione e l'India in particolare.

Il secondo metodo vede la creazione e l'esecuzione di file batch rilasciati in una cartella con nome casuale sull'unità C del dispositivo compromesso. Il passaggio successivo consiste nell'aggiungere una voce di registro in HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run che punta al payload di CetaRAT. In questo caso, il file eseguibile della minaccia si trova nella cartella '%AppData/Roaming%'.

Dati raccolti

Prima che CetaRAT attivi la sua funzionalità principale, la minaccia esegue una scansione per tutte le soluzioni AV in esecuzione e invia i dettagli acquisiti al suo server Command-an-Control (C2, C&C). Successivamente, inizia a raccogliere vari dettagli di sistema, tra cui nome del computer, indirizzo IP, dettagli sulla memoria, informazioni sul processore, dati del sistema operativo e altro.

Quando le informazioni iniziali sul dispositivo compromesso sono state trasmesse, CetaRAT attenderà ulteriori comandi. L'attore della minaccia può istruire il RAT a recuperare payload aggiuntivi ed eseguirli, manipolare il file system della vittima, acquisire schermate arbitrarie, eseguire comandi arbitrari e altre azioni intrusive. Tutti i dati raccolti vengono crittografati con l'algoritmo RC4 prima di essere trasmessi al server C2.

Tendenza

I più visti

Caricamento in corso...