CRAT

CRAT è un potente RAT (Remote Access Trojan) che è stato collegato alle attività di una minaccia persistente avanzata chiamata Lazarus Group. Due diverse versioni della minaccia sono state osservate come parte delle campagne di attacco e mostrano chiaramente che CRAT viene sviluppato e si evolve attivamente. L'ultima variante ha adottato un approccio più modulare con varie funzionalità RAT spostate in moduli danneggiati separati invece di essere raggruppati in un unico carico utile. Inoltre, la gamma di funzionalità backdoor di CRAT è stata ampliata con l'aggiunta di plug-in malware selezionabili responsabili della cattura di schermate, del keylogging e del monitoraggio degli appunti. Ancora più importante, CRAT può distribuire un modulo ransomware che consegna la minaccia Hansom sul computer infetto. Gli hacker possono utilizzare il ransomware come un modo per estorcere fondi alla vittima dopo aver già esfiltrato tutti i dati desiderati o per interrompere pesantemente il sistema endpoint.

Molteplici tecniche di offuscamento ostacolano il rilevamento di CRAT

L'aspetto più importante di qualsiasi minaccia RAT è la sua capacità di infiltrarsi nei sistemi mirati e CRAT dispone di diverse contromisure anti-rilevamento e anti-analisi messe in atto. In primo luogo, gli hacker si sono allontanati dalla pratica comune di utilizzare un packer che può essere rilevato da tecniche come l'analisi dell'entropia, l'analisi dell'API di importazione, ecc. E, invece, hanno adottato l'offuscamento selettivo del codice del malware. In particolare, CRAT offusca le sue stringhe utilizzando una chiave XOR a quattro byte seguita dalla codifica base64. Utilizza anche la risoluzione API dinamica e l'applicazione di patch al codice di runtime. I nomi delle DLL del RAT sono progettati per imitare quelli della libreria di un'applicazione innocente.

CRAT effettua anche una serie di controlli volti a verificare che la minaccia sia in esecuzione sull'endpoint desiderato e non in un ambiente di analisi. Confronta indirizzi MAC, processi, adattatori di rete e nomi di strumenti di analisi con un elenco di blocco codificato e, quando rileva una corrispondenza, termina la sua esecuzione. CRAT esegue un controllo per eventuali tentativi di debug, anche tramite CheckRemoteDebuggerPresent.

Funzionalità RAT di base aumentate con plug-in modulari

In caso di infiltrazione riuscita, CRAT può avviare una serie impressionante di funzionalità backdoor che sono state ampliate solo nella versione più recente. Prima che il RAT inizi ad agire, tuttavia, attende di ricevere il comando appropriato dall'infrastruttura Command-and-Control (C2, C&C) sotto forma di comunicazione JSON su HTTP. L'adozione di un'architettura modulare consente agli hacker di personalizzare ulteriormente le proprie attività in base ai propri obiettivi minacciosi scaricando solo plug-in di malware selezionati e inserendoli in processi specifici in esecuzione sull'endpoint compromesso.

CRAT può raccogliere varie informazioni di sistema come indirizzo MAC, firewall installato e prodotti antivirus, nomi di dominio, controllare i privilegi amministrativi, raccogliere informazioni sulle dimensioni per tutti i file e le cartelle ad eccezione di % windir% e del Cestino, leggere, scrivere ed esfiltrare il contenuto dei file. Gli aggressori possono eseguire comandi remoti e impostare una shell di comando inversa. CRAT viola le credenziali utente come nomi utente e password archiviati in Google Chrome. La minaccia viene fornita con un sottomodulo File Explorer personalizzato.

Tuttavia, il cambiamento più grande rispetto alle versioni precedenti è la capacità di CRAT di scaricare e installare plugin danneggiati secondo le istruzioni ricevute dal C2. Il più peculiare è il plugin ransomware che trasporta la minaccia Hansom. Di solito, il ransomware crittografa i file sul sistema infetto con un algoritmo non crackabile, ma Hansom ha un approccio diverso. Una volta avviato, procede a bloccare ogni file in archivi individuali a cui viene quindi assegnata una password diversa generata casualmente. Le password vengono successivamente crittografate con una chiave pubblica incorporata. Hansom può interessare un totale di 110 diversi tipi di file. Prima di avviare il processo di crittografia, esegue diverse procedure progettate per disabilitare le notifiche di Windows Defender, il processo di Windows Defender 'MsMpEng.exe' in particolare, disabilita il task manager e avvia un meccanismo di persistenza tramite il registro e regsvr32.

Post correlati

Tendenza

I più visti

Caricamento in corso...