TSCookieRAT
TSCookieRAT is een bedreiging voor externe toegang die werd ingezet tegen Japanse doelen door de hackergroep met de aanduiding BlackTech. De dreigende operatie gebruikte aas-e-mails om de beoogde gebruikers te misleiden om op een URL te klikken die naar de dreiging leidde. Opgemerkt moet worden dat TSCookieRAT aanvankelijk ook onder de PLEAD-naam werd gevolgd, maar latere analyse heeft bepaalde verschillen tussen de twee aan het licht gebracht.
De lokaas-e-mails die in de campagne werden gebruikt, zouden afkomstig zijn van het Japanse ministerie van Onderwijs, Cultuur, Sport, Wetenschap en Technologie. De URL die in de e-mails wordt verstrekt, downloadt een gecodeerd DLL-bestand dat de loader-component van de TSCookieRAT bevat. Het DLL-bestand wordt vervolgens in het geheugen geladen en uitgevoerd. De schadelijke functionaliteiten van de dreiging worden vervolgens uitgebreid in de latere stadia van de aanval door aanvullende modules op te halen en uit te voeren vanaf de Command-and-Control (C2, C&C) server van de campagne. Alle componenten in een laat stadium worden ook op geheugen uitgevoerd.
Wanneer TSCookieRAT klaar is om met zijn bedreigende operatie te beginnen, stuurt het een HTTP GET-verzoek naar de C&C en wacht vervolgens op inkomende commando's. De dreiging stelt de oplichter in staat om een aanzienlijk niveau van controle over het geïnfecteerde systeem te krijgen. De hackers kunnen willekeurige shell-opdrachten uitvoeren, gegevens exfiltreren, inclusief schijf- en systeeminformatie, het bestandssysteem manipuleren en gevoelige informatie verzamelen, zoals wachtwoorden van de meest populaire webbrowsers: Chrome, Firefox, Edge, Internet Explorer en de e-mailclient van Outlook. Resultaten die zijn verzameld als reactie op de ontvangen opdrachten, worden vervolgens geüpload in hetzelfde formaat als het eerste HTTP POST-verzoek.
De BlackTech-aanvalscampagnes tegen Japanse doelen kunnen doorgaan en kunnen verschillende malwarebedreigingen met zich meebrengen, dus organisaties moeten hun cyberbeveiliging op een bevredigend niveau houden en eventuele softwarebeveiligingspatches tijdig implementeren.
