세타라트

CetaRAT는 C# 프로그래밍 언어를 사용하여 작성된 원격 액세스 트로이 목마(RAT) 위협입니다. 주요 기능은 첩보 활동을 수행하여 손상된 시스템에서 중요한 데이터를 수집한 다음 추출하는 것입니다. 이 위협은 인도 방위군과 군대 요원을 대상으로 하는 공격 캠페인인 SideCopy 작전에 배치되었을 때 infosec 커뮤니티에 의해 처음 발견되었습니다. 그 이후로 CetaRAT는 범위를 확장하고 인도 정부 기관에 대한 추가 공격에 활용되었습니다.

공격 체인

CetaRAT의 감염 체인은 무기화된 첨부 파일이 포함된 스피어 피싱 이메일의 배포로 시작됩니다. 손상된 첨부 파일은 원격 URL에서 HTA 파일을 가져오는 ZIP 아카이브 형식을 취할 수 있습니다. HTA 파일을 실행하면 CetaRAT의 위협이 피해자의 시스템에 전달됩니다. 지금까지 두 가지 다른 방법이 관찰되었습니다.

첫 번째는 HTA 파일이 시작된 후 'C:\ProgramData' 위치에 위치한 JavaScript 파일을 생성하고 실행하는 것입니다. 이 스크립트는 의심하지 않는 피해자에게 유인 문서를 표시하여 CetaRAT 페이로드가 시스템의 시작 위치에서 삭제되고 있다는 사실로부터 주의를 분산시키는 역할을 합니다. 미끼 문서는 일반적으로 특히 인도와 지역에 관한 관련 주제에 대한 정보를 담고 있습니다.

두 번째 방법은 손상된 장치의 C 드라이브에 있는 임의로 명명된 폴더에 배치 파일을 생성하고 실행하는 것입니다. 다음 단계는 CetaRAT의 페이로드를 가리키는 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run에 레지스트리 항목을 추가하는 것입니다. 이 경우 위협의 실행 파일은 '%AppData/Roaming%' 폴더에 있습니다.

수집된 데이터

CetaRAT이 주요 기능을 활성화하기 전에 위협 요소는 실행 중인 모든 AV 솔루션에 대한 검사를 수행하고 획득한 세부 정보를 Command-an-Control(C2, C&C) 서버로 보냅니다. 그 후 컴퓨터 이름, IP 주소, 메모리 세부 정보, 프로세서 정보, OS 데이터 등을 포함한 다양한 시스템 세부 정보 수집을 시작합니다.

손상된 장치에 대한 초기 정보가 전송되면 CetaRAT는 추가 명령을 기다립니다. 위협 행위자는 추가 페이로드를 가져와 실행하고, 피해자의 파일 시스템을 조작하고, 임의의 스크린샷을 찍고, 임의의 명령 및 기타 침입 작업을 실행하도록 RAT에 지시할 수 있습니다. 수집된 모든 데이터는 C2 서버로 전송되기 전에 RC4 알고리즘으로 암호화됩니다.