PY#RATION RAT

Laukinėje gamtoje buvo sugauta nauja puolimo kampanija. Grėsminga operacija naudoja naują Python pagrindu sukurtą kenkėjišką programą, pavadintą PY#RATION RAT. Kaip įprasta šių nuotolinės prieigos Trojos arklių (RAT) atveju, PY#RATION turi platų žalingų funkcijų rinkinį, įskaitant duomenų išfiltravimą ir klavišų registravimą. Tai, kas daro šią grėsmę ypač unikalią, yra WebSockets naudojimas komandų ir valdymo (C2, C&C) ryšiui ir eksfiltracijai, taip pat galimybė išvengti kenkėjiškų programų apsaugos sprendimų ir tinklo saugumo priemonių aptikimo.

Išsami informacija apie PY#RATION RAT buvo atskleista kibernetinio saugumo tyrėjų ataskaitoje. Remiantis jų išvadomis, grėsmės kibernetiniai nusikaltėliai daugiausia yra nukreipti į taikinius JK arba Šiaurės Amerikoje, sprendžiant iš sukčiavimo jaukų, naudojamų kaip atakos dalis.

PY#RATION puolimo grandinė

Ataka prasideda apgaulingu sukčiavimo el. laišku, kuriame yra ZIP archyvas. Archyvo viduje yra du nuorodų (.LNK) failai, kurie yra tariamai tikro JK vairuotojo pažymėjimo priekiniai ir galiniai vaizdai. Atidarius kiekvieną iš šių .LNK failų, du tekstiniai failai paimami iš nuotolinio serverio ir išsaugomi kaip .BAT failai.

Kol aukai rodomi jauko vaizdai, žalingi failai tyliai vykdomi sistemos fone. Be to, iš C2 serverio atsisiunčiamas kitas paketinis scenarijus, kuris gauna kitas naudingas apkrovas, įskaitant Python dvejetainį failą, pavadintą „CortanaAssistance.exe“. „Microsoft“ virtualaus asistento „Cortana“ naudojimas reiškia, kad užpuolikai galėjo pabandyti nuslėpti savo sugadintą kodą kaip teisėtą sistemos failą.

PY#RATION RAT žalingos galimybės

Aptiktos dvi PY#RATION Trojan versijos (1.0 ir 1.6 versijos). Naujesnėje versijoje yra beveik 1000 papildomo kodo eilučių, kurios prideda tinklo nuskaitymo funkcijas, kad būtų galima ištirti pažeistus tinklus, ir šifravimo sluoksnį virš Python kodo naudojant fernet modulį. Be to, grėsmė gali perkelti failus iš pažeisto pagrindinio kompiuterio į jo C2 serverį ir atvirkščiai.

RAT gali pradėti įrašyti klavišų paspaudimus, vykdyti sistemos komandas, išgauti slaptažodžius ir slapukus iš žiniatinklio naršyklių, užfiksuoti iškarpinės duomenis ir aptikti saugos programinės įrangos buvimą. Grėsmių subjektai gali naudoti PY#RATION kaip vartus kitų grėsmių, pvz., kito Python pagrindu veikiančio informacijos vagystės, specialiai sukurtos duomenims iš žiniatinklio naršyklių ir kriptovaliutų piniginių surinkti, naudojimui.