Vairāku licenču atlaides
Threat Database Remote Administration Tools PY#RATION RAT

PY#RATION RAT

Līdz Mezo. gadam Remote Administration Tools. gadā
Tulkot uz:
Latviešu

Savvaļā noķerta jauna uzbrukuma kampaņa. Draudošā operācija izmanto jaunu uz Python balstītu ļaunprogrammatūru, kas nodēvēta par PY#RATION RAT. Kā parasti ar šiem attālās piekļuves Trojas zirgiem (RAT), PY#RATION ir visaptverošs kaitīgu iespēju kopums, tostarp datu eksfiltrācija un taustiņu reģistrēšana. Īpaši unikālu šo draudu padara tas, ka tiek izmantots WebSockets gan Command-and-Control (C2, C&C) saziņai, gan eksfiltrācijai, kā arī tā spēja izvairīties no ļaunprātīgas programmatūras novēršanas risinājumiem un tīkla drošības pasākumiem.

Sīkāka informācija par PY#RATION RAT ir atklāta kiberdrošības pētnieku ziņojumā. Saskaņā ar viņu atklājumiem kibernoziedznieki, kas ir aiz apdraudējuma, galvenokārt koncentrējas uz mērķiem Apvienotajā Karalistē vai Ziemeļamerikā, spriežot pēc pikšķerēšanas pievilinājumiem, kas tiek izmantoti uzbrukumā.

PY#RATION uzbrukuma ķēde

Uzbrukums sākas ar maldinošu pikšķerēšanas e-pastu, kurā ir ZIP arhīvs. Arhīvā ir divi īsinājumtaustiņu (.LNK) faili, kas ir šķietami īstas Apvienotās Karalistes autovadītāja apliecības priekšējie un aizmugurējie attēli. Atverot katru no šiem .LNK failiem, divi teksta faili tiek izgūti no attālā servera un pēc tam saglabāti kā .BAT faili.

Kamēr upurim tiek rādīti mānekļu attēli, kaitīgie faili tiek klusi izpildīti sistēmas fonā. Turklāt no C2 servera tiek lejupielādēts cits pakešu skripts, kas iegūst citas derīgās slodzes, tostarp Python bināro failu ar nosaukumu “CortanaAssistance.exe”. Microsoft virtuālā asistenta Cortana izmantošana nozīmē, ka uzbrucēji, iespējams, ir mēģinājuši slēpt savu bojāto kodu kā likumīgu sistēmas failu.

PY#RATION RAT kaitīgās spējas

Ir konstatētas divas PY#RATION Trojas zirgu versijas (versija 1.0 un 1.6). Jaunākajā versijā ir iekļautas gandrīz 1000 papildu koda rindiņas, kas pievieno tīkla skenēšanas funkcijas, lai pārbaudītu apdraudētos tīklus, un šifrēšanas slāni pār Python kodu, izmantojot fernet moduli. Turklāt draudi var pārsūtīt failus no uzlauztā resursdatora uz tā C2 serveri un otrādi.

RAT var sākt ierakstīt taustiņsitienus, izpildīt sistēmas komandas, iegūt paroles un sīkfailus no tīmekļa pārlūkprogrammām, tvert starpliktuves datus un noteikt drošības programmatūras klātbūtni. Apdraudējumi var izmantot PY#RATION kā vārteju, lai izvietotu citu apdraudējumu, piemēram, citu uz Python balstītu informācijas zagļu, kas ir īpaši izveidots datu vākšanai no tīmekļa pārlūkprogrammām un kriptovalūtu makiem, slodzes izvietošanai.

Tendences

Visvairāk skatīts

“Geek Squad” e-pasta krāpniecība

Phishing, Spam
15,882
Populārs tehniskā atbalsta sniedzējs Geek Squad ir kļuvis par pikšķerēšanas krāpniecības upuri, ko sauc par Geek Squad e-pasta krāpniecību. Šajā tehniskā atbalsta krāpniecībā tiek izmantoti viltoti e-pasta ziņojumi, kas liek cilvēkiem izpaust savu personisko informāciju, piemēram, kredītkartes datus, e-pasta adreses un pat sociālās apdrošināšanas numurus. Šajā rakstā mēs apspriedīsim pašu...
Notiek ielāde...