Lime RAT

Lime RAT Beschrijving

LimeRAT is een eenvoudig Trojaans paard voor externe toegang dat desalniettemin een uitgebreide reeks snode functionaliteiten levert aan bedreigingsactoren. De dreiging is ontworpen om Windows-systemen te infecteren en heeft een modulaire samenstelling die kan worden aangepast om te reageren op de behoeften van de hackers. Het kan een achterdeur op de gecompromitteerde machine vestigen en willekeurige commando's uitvoeren. Als dit wordt gevraagd, kan LimeRAT payloads van cryptominer inzetten of een coderingsroutine starten die de beoogde bestandstypen vergrendelt op een manier die vergelijkbaar is met ransomwarebedreigingen. Bovendien kunnen alle succesvol geïnfiltreerde systemen aan botnets worden toegevoegd.

Alsof dit nog niet genoeg was, kan LimeRAT ook fungeren als een schermvergrendeling of een gegevensverzamelaar die privégegevens en bestanden verzamelt en deze naar zijn Command-and-Control-server (C2, C&C) exfiltreert. Alle geüploade informatie wordt eerst versleuteld met behulp van het AES-cryptografische algoritme. De malwarebedreiging kan ook USB-drives detecteren die op het geïnfecteerde systeem zijn aangesloten en deze gebruiken om zichzelf verder te verspreiden.

LimeRAT beschikt over meerdere detectie-vermijdings- en antivirtualisatietechnieken. Het kan scannen op tekenen dat het wordt uitgevoerd op een virtuele machine (VM) en zichzelf indien nodig verwijderen.

Infectie via een oude Excel-coderingstechniek

LimeRAT wordt verspreid als alleen-lezen Excel-documenten in een recent ontdekte aanvalscampagne. De Trojanized documenten worden bijgevoegd bij phishing-e-mails gericht op de geselecteerde doelgroep. De beslissing om alleen-lezen documenten te gebruiken en geen vergrendelde documenten is opzettelijk. Alleen-lezen bestanden hebben geen wachtwoord nodig om te worden geopend en kunnen ook worden gebruikt in een oude Excel-exploitatietechniek. Wanneer een dergelijk bestand wordt uitgevoerd, zal Excel proberen het te decoderen met een ingebed, standaardwachtwoord - 'VelvetSweatshop', terwijl ook ingebouwde macro's worden ingeschakeld en de beschadigde payload zijn aanvalsketen kan initiëren. Het gebruik van deze techniek dateert van 2013 en de exploit heeft de aanduiding CVE-2012-0158 gekregen. Hoewel het probleem al lang geleden is aangepakt, lijkt het erop dat cybercriminelen er weer op terugkomen in een poging nieuwe slachtoffers te infecteren.