CetaRAT
CetaRAT to trojan zdalnego dostępu (RAT) napisany przy użyciu języka programowania C#. Jego główną funkcją jest prowadzenie działań szpiegowskich, w ramach których zbiera, a następnie wydobywa poufne dane z zaatakowanych maszyn. Zagrożenie zostało po raz pierwszy zauważone przez społeczność infosec, gdy zostało wdrożone we wciąż trwającej operacji SideCopy, kampanii ataku wymierzonej w indyjskie siły obronne i personel sił zbrojnych. Od tego czasu CetaRAT rozszerza swój zasięg i jest wykorzystywany w dodatkowych atakach na indyjskie agencje rządowe.
Łańcuch ataku
Łańcuch infekcji CetaRAT zaczyna się od dystrybucji e-maili typu spear-phishing zawierających uzbrojony załącznik. Uszkodzone załączniki mogą mieć postać archiwum ZIP, które pobiera plik HTA ze zdalnego adresu URL. Wykonanie pliku HTA przenosi zagrożenie ze strony CetaRAT na komputer ofiary. Do tej pory zaobserwowano dwie różne metody.
W pierwszym, po zainicjowaniu pliku HTA, przystępuje do tworzenia i wykonywania pliku JavaScript umieszczonego w lokalizacji „C:\ProgramData”. Skrypt jest odpowiedzialny za pokazywanie niczego niepodejrzewającej ofierze dokumentu wabiącego, aby odwrócić jej uwagę od faktu, że ładunek CetaRAT jest upuszczany w lokalizacji startowej systemu. Dokumenty-wabiki zazwyczaj zawierają informacje na istotny temat dotyczący regionu, aw szczególności Indii.
Druga metoda polega na tworzeniu i wykonywaniu plików wsadowych umieszczonych w losowo nazwanym folderze na dysku C zaatakowanego urządzenia. Następnym krokiem jest dodanie wpisu rejestru w HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wskazującego na ładunek CetaRAT. W takim przypadku plik wykonywalny zagrożenia znajduje się w folderze „%AppData/Roaming%”.
Zebrane dane
Zanim CetaRAT aktywuje swoją główną funkcjonalność, zagrożenie wykonuje skanowanie w poszukiwaniu wszystkich działających rozwiązań antywirusowych i wysyła uzyskane dane do swojego serwera Command-an-Control (C2, C&C). Następnie zaczyna zbierać różne szczegóły systemu, w tym nazwę komputera, adres IP, szczegóły pamięci, informacje o procesorze, dane systemu operacyjnego i inne.
Po przesłaniu wstępnych informacji o zhakowanym urządzeniu CetaRAT będzie czekał na dodatkowe polecenia. Aktor zagrożenia może nakazać RAT pobranie dodatkowych ładunków i wykonanie ich, manipulowanie systemem plików ofiary, wykonywanie dowolnych zrzutów ekranu, wykonywanie dowolnych poleceń i innych natrętnych działań. Wszystkie zebrane dane są szyfrowane algorytmem RC4 przed przesłaniem do serwera C2.
