SombRAT
SombRAT è una minaccia backdoor che è stata osservata per essere implementata nelle campagne da quello che si ritiene essere un gruppo di attori di minacce chiamato CostaRicto che offre servizi di hacking a noleggio. Gli strumenti che usano, incluso SombRAT, sembrano essere costruiti su misura o creati appositamente per questo gruppo di hacker in quanto non compaiono al di fuori delle operazioni di CostaRicto.
Alcuni dettagli trovati all'interno del codice di SombRAT indicano che a un certo punto la minaccia malware è stata chiamata Sombra, un personaggio del popolare gioco Overwatch descritto come specialista di spionaggio e valutazione dell'intelligence che possiede grandi capacità di hacking. Scritto in C ++, SombRAT è caratterizzato da una tipica funzionalità backdoor che è incantata attraverso un'architettura a plugin. Ciò significa che gli aggressori di CostaRicto utilizzano la minaccia principalmente come un intermediario che rilascia ed esegue plug-in o binari aggiuntivi danneggiati e può esfiltrare dati di sistema specifici, terminare processi e caricare file sull'infrastruttura Command-and-Control (C&C, C2) sulla sua proprio.
Dopo essere stato eseguito sul computer di destinazione, SombRAT controlla prima che sia eseguito come servizio e quindi crea un mutex run-once contenente & HOSTNAME & seguito da "S", "U" o "SU", determinati dai privilegi specifici che la minaccia è stata eseguita con. Quando è completamente distribuito, SombRAT può riconoscere 50 diversi comandi che possono essere ampiamente divisi in sei gruppi, ciascuno con un'interfaccia separata: Core, Taskman, Config, Storage, Debug e Network.
Prima di poter iniziare a ricevere comandi, SombRAT deve stabilire una connessione con i server C2. Ciò si ottiene tramite tunneling DNS o socket TCP, con il traffico di comunicazione crittografato con RSA-2048. Il dominio C2 è hardcoded nella minaccia, mentre il sottodominio è determinato mediante l'uso di un Domain Generation Algorithm (DGA).
Tutti i dati raccolti da SombRAT insieme ai dettagli di configurazione e gli eventuali plug-in scaricati vengono inseriti in un file creato nella directory% TEMP% con un formato di database personalizzato. Il file utilizza AES-256 come algoritmo di crittografia e ogni volta che il malware vuole leggere ciò che è già memorizzato o aggiungere nuove informazioni, deve decrittografare e quindi crittografare nuovamente l'intero file.
