CetaRAT

CetaRAT is een RAT-bedreiging (Remote Access Trojan) die is geschreven met behulp van de programmeertaal C#. De belangrijkste functie is het uitvoeren van spionageactiviteiten waarbij het gevoelige gegevens van de aangetaste machines verzamelt en vervolgens exfiltreert. De dreiging werd voor het eerst opgemerkt door de infosec-gemeenschap toen het werd ingezet in de nog steeds lopende Operatie SideCopy, een aanvalscampagne gericht op Indiase strijdkrachten en strijdkrachten. Sindsdien heeft CetaRAT zijn bereik uitgebreid en wordt het ingezet bij extra aanvallen op Indiase overheidsinstanties.

Aanvalsketen

De infectieketen van CetaRAT begint met de verspreiding van spear-phishing-e-mails met een bewapende bijlage. De beschadigde bijlagen kunnen de vorm aannemen van een ZIP-archief dat een HTA-bestand ophaalt van een externe URL. Het uitvoeren van het HTA-bestand levert de CetaRAT-dreiging op de computer van het slachtoffer. Tot dusver zijn twee verschillende methoden waargenomen.

In de eerste, nadat het HTA-bestand is gestart, gaat het verder met het maken en uitvoeren van een JavaScript-bestand dat op de locatie 'C:\ProgramData' is geplaatst. Het script is verantwoordelijk voor het tonen van een lokdocument aan het nietsvermoedende slachtoffer om hen af te leiden van het feit dat de CetaRAT-payload wordt gedropt op de opstartlocatie van het systeem. De lokdocumenten bevatten meestal informatie over een relevant onderwerp met betrekking tot de regio en India in het bijzonder.

De tweede methode ziet het maken en uitvoeren van batchbestanden in een willekeurig genoemde map op de C-schijf van het aangetaste apparaat. De volgende stap is het toevoegen van een registervermelding op HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run die naar de payload van CetaRAT wijst. In dit geval bevindt het uitvoerbare bestand van de dreiging zich in de map '%AppData/Roaming%'.

Verzamelde gegevens

Voordat CetaRAT zijn hoofdfunctionaliteit activeert, voert de dreiging een scan uit op alle actieve AV-oplossingen en stuurt de verkregen details naar zijn Command-an-Control (C2, C&C)-server. Daarna begint het verschillende systeemdetails te verzamelen, waaronder computernaam, IP-adres, geheugendetails, processorinformatie, OS-gegevens en meer.

Wanneer de eerste informatie over het gecompromitteerde apparaat is verzonden, wacht CetaRAT op aanvullende opdrachten. De dreigingsactor kan de RAT instrueren om extra payloads op te halen en uit te voeren, het bestandssysteem van het slachtoffer te manipuleren, willekeurige screenshots te maken, willekeurige commando's en andere opdringerige acties uit te voeren. Alle verzamelde gegevens worden versleuteld met het RC4-algoritme voordat ze naar de C2-server worden verzonden.

Trending

Meest bekeken

Bezig met laden...