ReverseRat

Entro CagedTech nel Trojans

Traduci in:

I ricercatori hanno rilevato una campagna di attacco potenzialmente dannosa che utilizza un Trojan ad accesso remoto (RAT) precedentemente sconosciuto chiamato ReverseRat. La minaccia, insieme a un RAT open source chiamato AllaKore, è stata schierata contro un gruppo ristretto di bersagli selezionati che operano in settori industriali critici. Alcune delle vittime identificate includono un'organizzazione governativa straniera, una società di trasmissione di energia e un'organizzazione di generazione e trasmissione di energia. Quasi tutte le organizzazioni che hanno mostrato segni coerenti con l'IoC (Indicators of Compromise) osservate nella campagna ReverseRat si trovano in India con solo un piccolo numero di vittime provenienti dall'Afghanistan. Per quanto riguarda l'attore della minaccia responsabile degli attacchi, sembra che operi dal Pakistan o che abbia legami con il paese.

Capacità di ReverseRat

Una volta implementato con successo all'interno della rete interna della vittima, ReverseRat consente all'autore della minaccia di eseguire numerose attività minacciose, a seconda dei suoi obiettivi particolari. Partiamo dall'inizio: la minaccia inizia il suo funzionamento enumerando il dispositivo compromesso e raccogliendo vari dati su di esso tramite Strumentazione gestione Windows (WMI). Tra le informazioni raccolte ci sono l'indirizzo MAC del dispositivo, la memoria fisica ad esso collegata e numerosi dettagli della CPU: velocità di clock massima, nome del modello, produttore, ecc. ReverseRat determina anche il nome del computer, il sistema operativo e l'indirizzo IP pubblico tramite il .Quadro di rete.

Tutti i dati raccolti vengono quindi codificati e inviati a un nodo Command-and-Control (C2, C&C). ReverseRat attende quindi di ricevere un comando appropriato che corrisponda alle sue funzioni predefinite. L'attore della minaccia può istruire il RAT a modificare la struttura dei file sul sistema; eseguire, avviare o terminare processi specificati, raccogliere dati dagli appunti, acquisire schermate ed eseguire comandi arbitrari da una finestra cmd.exe nascosta. Questo set di funzionalità di base, tuttavia, potrebbe essere ampliato con moduli aggiuntivi che ReverseRat può scaricare e avviare sul sistema violato.

I RAT sono malware estremamente minacciosi e anche le organizzazioni che non rientrano negli attuali criteri delle vittime di ReverseRat dovrebbero prendere le precauzioni necessarie e adeguare le proprie misure di sicurezza.

Ricerca

Cambia regione

ReverseRat

Invia commento

Tendenza

Safe Search Eng

MarioLocker Ransomware

Il mio sfondo

I più visti

Lookmovie.io è sicuro?

Come correggere l'errore "Driver della stampante non...

Discord mostra lo schermo nero durante la...