FlawedGrace RAT

FlawedGrace è il nome di un RAT (Remote Access Threat) a tutti gli effetti che fa parte del minaccioso arsenale della banda di criminali informatici motivati finanziariamente tracciata come TA505 (o Hive0065). Il gruppo è attivo almeno dal 2014 ed è tra i più prolifici con molteplici campagne di attacco ad esso attribuite. Un'altra caratteristica distintiva di TA505 è la sua propensione a implementare frequenti modifiche sia ai loro TTP (tattiche, tecniche e procedure), sia ai tipi di minacce malware. Il gruppo è stato osservato mentre effettuava massicce campagne di spam tramite e-mail consegnando il Trojan bancario Dridex, prima di passare alla distribuzione delle minacce Locky e Jaff Ransomware, del Trojan bancario TrickBot e altro ancora.

Dettagli di grazia imperfetti

La prima volta che il FlawedGrace RAT è stato rilevato dai ricercatori di infosec è stato nel novembre 2017. È un potente RAT scritto nel linguaggio di programmazione C++. È in grado di riconoscere più comandi in entrata da un server Command-and-Control inviato tramite un protocollo binario personalizzato utilizzando la porta 443. È possibile indicare alla minaccia di recuperare moduli danneggiati aggiuntivi e quindi caricarli ed eseguirli. Può anche scaricare ed estrarre file scelti, raccogliere informazioni sensibili sull'utente, come password e altro.

Nelle ultime operazioni di attacco effettuate da TA505, è stata implementata una versione aggiornata del FlawedGrace RAT. Sebbene l'analisi completa delle modifiche sia ancora in corso, finora i ricercatori hanno osservato che la minaccia ora utilizza stringhe crittografate e chiamate API offuscate. Un'altra differenza è stata trovata nel modo in cui la minaccia ha memorizzato la sua configurazione. La configurazione iniziale o predefinita viene archiviata nel sistema come risorsa crittografata. Successivamente, viene diviso in due: un'istanza di configurazione corrente collocata in una regione di memoria mappata e un meccanismo di persistenza inserito nel registro di sistema.