ReverseRat

연구원들은 이전에 알려지지 않은 ReverseRat이라는 RAT (원격 액세스 트로이 목마)를 사용하는 잠재적으로 유해한 공격 캠페인을 탐지했습니다. 이 위협은 AllaKore라는 오픈 소스 RAT와 함께 중요 산업 부문에서 운영되는 일부 대상에 대해 배치되었습니다. 확인 된 피해자 중 일부에는 외국 정부 기관, 송전 회사, 발전 및 송전 기관이 포함됩니다. ReverseRat 캠페인에서 관찰 된 IoC (Indicators of Compromise)와 일치하는 징후를 보이는 거의 모든 조직은 인도에 있으며 소수의 희생자는 아프가니스탄 출신입니다. 공격을 담당 한 위협 행위자는 파키스탄에서 활동하거나 국가와 관련이있는 것으로 보입니다.

ReverseRat의 기능

일단 피해자의 내부 네트워크에 성공적으로 배포되면 ReverseRat은 위협 행위자가 특정 목표에 따라 수많은 위협 활동을 수행 할 수 있도록합니다. 처음부터 시작해 보겠습니다. 위협은 손상된 장치를 열거하고 WMI (Windows Management Instrumentation)를 통해 다양한 데이터를 수집하여 작동을 시작합니다. 수집 된 정보 중에는 장치의 MAC 주소, 연결된 물리적 메모리 및 수많은 CPU 세부 정보 (최대 클럭 속도, 모델 이름, 제조업체 등)가 있습니다. ReverseRat은 또한 컴퓨터 이름, 운영 체제 및 공용 IP 주소를 .넷 프레임 워크.

수집 된 모든 데이터는 인코딩되어 명령 및 제어 (C2, C & C) 노드로 전송됩니다. 그런 다음 ReverseRat은 미리 빌드 된 함수와 일치하는 적절한 명령을 수신 할 때까지 기다립니다. 위협 행위자는 RAT에 시스템의 파일 구조를 수정하도록 지시 할 수 있습니다. 지정된 프로세스를 실행, 시작 또는 종료하고, 클립 보드에서 데이터를 수집하고, 스크린 샷을 찍고, 숨겨진 cmd.exe 창에서 임의의 명령을 실행합니다. 그러나이 기본 기능 세트는 ReverseRat이 침해 된 시스템에서 다운로드하고 시작할 수있는 추가 모듈로 확장 될 수 있습니다.

RAT는 매우 위협적인 멀웨어이며 ReverseRat 피해자의 현재 기준에 속하지 않는 조직도 필요한 예방 조치를 취하고 보안 조치를 조정해야합니다.