ReverseRat
Onderzoekers hebben een potentieel schadelijke aanvalscampagne gedetecteerd die gebruikmaakt van een voorheen onbekende RAT-trojan (ReverseRat) met de naam ReverseRat. De dreiging is, naast een open-source RAT genaamd AllaKore, ingezet tegen een beperkt aantal geselecteerde doelen die actief zijn in kritieke industriesectoren. Enkele van de geïdentificeerde slachtoffers zijn een buitenlandse overheidsorganisatie, een energietransmissiebedrijf en een energieopwekkings- en transmissieorganisatie. Bijna alle organisaties die tekenen vertoonden die overeenkwamen met de IoC (Indicators of Compromise) die werden waargenomen in de ReverseRat-campagne, zijn gevestigd in India, met slechts een klein aantal slachtoffers uit Afghanistan. Wat betreft de dreigingsactor die verantwoordelijk is voor de aanslagen, deze lijkt ofwel vanuit Pakistan te opereren of banden te hebben met het land.
Mogelijkheden van ReverseRat
Eenmaal succesvol ingezet binnen het interne netwerk van het slachtoffer, stelt ReverseRat de dreigingsactor in staat om tal van bedreigende activiteiten uit te voeren, afhankelijk van hun specifieke doelen. Laten we bij het begin beginnen - de dreiging begint te werken door het gecompromitteerde apparaat op te sommen en er verschillende gegevens over te verzamelen via Windows Management Instrumentation (WMI). Onder de verzamelde informatie bevinden zich het MAC-adres van het apparaat, het fysieke geheugen dat erop is aangesloten en talloze CPU-details - maximale kloksnelheid, modelnaam, fabrikant, enz. ReverseRat bepaalt ook de computernaam, het besturingssysteem en het openbare IP-adres via de .Net-framework.
Alle verzamelde gegevens worden vervolgens gecodeerd en verzonden naar een Command-and-Control (C2, C&C)-knooppunt. ReverseRat wacht vervolgens op het ontvangen van een geschikte opdracht die overeenkomt met de vooraf gebouwde functies. De dreigingsactor kan de RAT instrueren om de bestandsstructuur op het systeem te wijzigen; voer gespecificeerde processen uit, start of stop ze, verzamel gegevens van het klembord, maak screenshots en voer willekeurige opdrachten uit vanuit een verborgen cmd.exe-venster. Deze basisset van functionaliteit kan echter worden uitgebreid met extra modules die ReverseRat kan downloaden en starten op het gehackte systeem.
RAT's zijn uiterst bedreigende malware en zelfs organisaties die niet binnen de huidige criteria van de slachtoffers van de ReverseRat vallen, moeten de nodige voorzorgsmaatregelen nemen en hun veiligheidsmaatregelen aanpassen.
