Atropozja szczura
Atroposia to komercyjnie dostępny trojan zdalnego dostępu (RAT), sprzedawany na podziemnych forach. Zapewnia on swoim operatorom głęboką, ukrytą kontrolę nad zainfekowanymi maszynami oraz bogaty zestaw narzędzi do kradzieży danych, manipulowania zachowaniem sieci i sondowania systemów w poszukiwaniu dalszych słabych punktów. Ze względu na szerokie możliwości i funkcje unikania ataków, każda potwierdzona obecność Atroposii na urządzeniu wymaga natychmiastowego usunięcia.
Zagrożenie złośliwym oprogramowaniem jest oferowane potencjalnym „klientom” w trzech poziomach płatności:
Miesięczny czynsz: 200 USD
Kwartalnie: 500 USD (trzy miesiące)
Półroczna: 900 USD (sześć miesięcy)
Spis treści
Skrycie, wytrwałość i kanał poleceń
Atroposia została zaprojektowana tak, aby pozostać w ukryciu. Potrafi automatycznie eskalować uprawnienia (omijając UAC), wykorzystuje wiele technik trwałości, aby przetrwać ponowne uruchomienia, i została zaprojektowana tak, aby unikać wykrycia przez oprogramowanie antywirusowe. Jej komunikacja z serwerami dowodzenia operatorów jest szyfrowana, a internetowy panel sterowania upraszcza wykonywanie złośliwych zadań nawet umiarkowanie zaawansowanym przestępcom.
Ukryty pilot zdalnego sterowania i obsługa plików
Jedną z funkcji sygnatury jest ukryty komponent pulpitu zdalnego (sprzedawany jako „HRDP Connect”), który otwiera niewidzialną sesję na komputerze ofiary, umożliwiając zdalnemu atakującemu interakcję z pulpitem bez widocznych dla użytkownika sygnałów. Dodatkowo, Atroposia zawiera menedżera plików, który umożliwia atakującym przeglądanie dysków i folderów, wyszukiwanie plików, pobieranie, usuwanie lub zdalne uruchamianie.
Masowe gromadzenie i ukryte pakowanie
RAT zawiera moduł przechwytujący, który wyszukuje pliki według rozszerzenia lub słowa kluczowego i pakuje znalezione pliki do zabezpieczonego hasłem pliku ZIP. Może on gromadzić i pakować dane w całości w pamięci lub korzystać z wbudowanych narzędzi systemowych, minimalizując ilość artefaktów na dysku i utrudniając analizę kryminalistyczną.
Możliwości kradzieży danych uwierzytelniających i portfela
Moduł Atroposii do zbierania danych gromadzi szeroką gamę poufnych danych: zapisane hasła przeglądarek, dane uwierzytelniające z aplikacji biznesowych i klientów VPN, dane z programów do przesyłania wiadomości, dane menedżerów haseł (jeśli są dostępne) oraz informacje o portfelach kryptowalut. Przechwytuje również zawartość schowka (wszystko, co użytkownik kopiuje lub wycina), rejestruje i przechowuje te wpisy. Może nawet nadpisać zawartość schowka, zastępując skopiowane adresy portfeli lub dane uwierzytelniające – technikę przydatną do wykradania środków lub przejmowania kontroli nad kontami.
Manipulacja siecią i przechwytywanie DNS
Szkodliwe oprogramowanie może zmieniać ustawienia DNS lub w inny sposób przechwytywać wyszukiwania nazw, tak aby przeglądarka ofiary była dyskretnie przekierowywana na kontrolowane przez atakującego strony podszywające się pod nią (na przykład fałszywe strony logowania). Ponieważ przeglądarka może nadal wyświetlać oczekiwany adres URL, ofiary mogą zostać oszukane i wprowadzić dane uwierzytelniające, myśląc, że znajdują się na legalnej stronie.
Skanowanie luk w zabezpieczeniach i możliwości eskalacji
Atroposia zawiera skaner, który sprawdza zainfekowany host pod kątem brakujących poprawek, słabych konfiguracji i nieaktualnego oprogramowania. W środowiskach korporacyjnych może to ujawnić cele o wysokiej wartości – niezałatane klienty VPN, błędy związane z eskalacją uprawnień lub inne zagrożenia – które atakujący wykorzystują do rozszerzenia dostępu w sieci.
Narzędzia do telemetrii systemowej i zdalnego sterowania
Poza kradzieżą danych i zdalnym pulpitem, RAT gromadzi metadane systemowe (adresy IP, wersję systemu operacyjnego, geolokalizację i inne szczegóły środowiskowe), może wyświetlać i zarządzać uruchomionymi procesami oraz obsługuje zdalne wyłączanie i ponowne uruchamianie. Zestaw narzędzi zawiera również dodatkowe, mniej obciążające narzędzia, które razem zapewniają szeroką elastyczność operacyjną.
Jak zazwyczaj dochodzi do zakażeń
Dokumenty złośliwe lub stanowiące broń (na przykład zainfekowane pliki PDF lub inne załączniki rozpowszechniane za pośrednictwem poczty e-mail)
Pakiety pirackiego oprogramowania, exploity typu drive-by, fałszywe reklamy, fałszywe schematy pomocy technicznej, pliki P2P/udostępniane, oszukańcze witryny pobierania, instalatory stron trzecich i podobne kanały
Dlaczego te metody dostarczania oprogramowania są skuteczne: atakujący stosują inżynierię społeczną (fałszywe dokumenty, kuszące pobrania lub żądania uruchomienia plików) lub wykorzystują luki w zabezpieczeniach i oszukańcze instalatory — większość infekcji ma miejsce, gdy użytkownik zostanie oszukany i uruchomi złośliwe oprogramowanie.
Podsumowanie wpływu
Atroposia umożliwia kompleksową eksfiltrację danych (plików, danych uwierzytelniających, danych ze schowka, portfeli kryptowalutowych), ukryte zdalne sterowanie, przekierowywanie sieci poprzez manipulację DNS oraz rozpoznanie w celu dalszej eksploatacji. Jej ukryta architektura (eskalacja uprawnień, trwałość, pakowanie w pamięci, szyfrowane C2 i ukryte sesje zdalne) sprawia, że jest ona szczególnie niebezpieczna zarówno dla użytkowników indywidualnych, jak i organizacji.
Natychmiastowa odpowiedź
W przypadku podejrzenia lub wykrycia atropozy w systemie, należy odłączyć urządzenie od sieci, zachować dzienniki do analizy, jeśli to możliwe, i jak najszybciej usunąć złośliwe oprogramowanie. Ponieważ operatorzy mogą korzystać z przechwyconych danych uwierzytelniających i tras dostępu, należy traktować każde naruszenie jako potencjalnie rozległe i rozważyć zmianę haseł, unieważnienie tokenów oraz przeprowadzenie szerszego wewnętrznego dochodzenia.
