Licenties voor meerdere apparaten (volumekortingen)
Uncategorized FlawedGrace RAT

FlawedGrace RAT

Tegen Mezo in Uncategorized
Vertalen naar:
Nederlands

FlawedGrace is de naam van een volwaardige RAT (Remote Access Threat) die deel uitmaakt van het dreigende arsenaal van de financieel gemotiveerde bende cybercriminelen gevolgd als TA505 (of Hive0065). De groep is actief sinds ten minste 2014 en behoort tot de meest productieve met meerdere aanvalscampagnes die eraan worden toegeschreven. Een ander onderscheidend kenmerk van TA505 is de neiging om frequente wijzigingen door te voeren in zowel hun TTP's (tactieken, technieken en procedures), als de typen malware-bedreigingen. De groep is geobserveerd met het uitvoeren van massale e-mailspamcampagnes die de Dridex banking-trojan afleveren, alvorens over te gaan tot de verspreiding van de Locky en Jaff Ransomware-bedreigingen, de TrickBot banking-trojan en meer.

FlawedGrace Details

De eerste keer dat de FlawedGrace RAT werd gedetecteerd door infosec-onderzoekers was in november 2017. Het is een krachtige RAT geschreven in de programmeertaal C++. Het is in staat om meerdere binnenkomende opdrachten van een Command-and-Control-server te herkennen die via een aangepast binair protocol met poort 443 zijn verzonden. De dreiging kan worden geïnstrueerd om extra beschadigde modules op te halen en deze vervolgens te laden en uit te voeren. Het kan ook gekozen bestanden downloaden en exfiltreren, gevoelige gebruikersinformatie verzamelen, zoals wachtwoorden en meer.

Bij de laatste aanvalsoperaties uitgevoerd door TA505 werd een bijgewerkte versie van de FlawedGrace RAT ingezet. Hoewel de volledige analyse van de wijzigingen nog aan de gang is, hebben de onderzoekers tot nu toe geconstateerd dat de dreiging nu gebruik maakt van versleutelde strings en versluierde API-aanroepen. Een ander verschil werd gevonden in de manier waarop de dreiging zijn configuratie opsloeg. De initiële of standaardconfiguratie wordt op het systeem opgeslagen als een versleutelde bron. Daarna wordt het in tweeën gesplitst: een huidige configuratie-instantie die in een toegewezen geheugenregio wordt geplaatst en een persistentiemechanisme dat in het register van het systeem wordt geïnjecteerd.

Bezig met laden...