FlawedGrace RAT

FlawedGrace to nazwa w pełni rozwiniętego RAT (Remote Access Threat), który jest częścią groźnego arsenału motywowanego finansowo gangu cyberprzestępców śledzonych jako TA505 (lub Hive0065). Grupa działa od co najmniej 2014 r. i należy do najbardziej płodnych, przypisuje się jej wiele kampanii ataków. Inną wyróżniającą cechą TA505 jest jego skłonność do wprowadzania częstych zmian zarówno w swoich TTP (taktykach, technikach i procedurach), jak i typach zagrożeń złośliwym oprogramowaniem. Grupa jest Zaobserwowano przeprowadzenie masowych kampanii spamowych e-mail dostarczające Dridex trojanami bankowymi, przed przejściem do dystrybucji Locky i Jaff zagrożeń RansomWare, z TrickBot trojanami bankowymi i więcej.

FlawedGrace szczegóły 

Po raz pierwszy FlawedGrace RAT został wykryty przez badaczy infosec w listopadzie 2017 r. Jest to potężny RAT napisany w języku programowania C++. Jest w stanie rozpoznać wiele poleceń przychodzących z serwera Command-and-Control wysyłanych za pośrednictwem niestandardowego protokołu binarnego przy użyciu portu 443. Zagrożenie może zostać poinstruowane, aby pobrać dodatkowe uszkodzone moduły, a następnie je załadować i wykonać. Może również pobierać i eksfiltrować wybrane pliki, zbierać poufne informacje o użytkowniku, takie jak hasła i inne.

W ostatnich operacjach ataku przeprowadzonych przez TA505 wdrożono zaktualizowaną wersję FlawedGrace RAT. Chociaż pełna analiza zmian wciąż trwa, naukowcy do tej pory zaobserwowali, że zagrożenie wykorzystuje teraz zaszyfrowane ciągi znaków i zaciemnione wywołania API. Kolejną różnicę stwierdzono w sposobie, w jaki zagrożenie przechowywało swoją konfigurację. Konfiguracja początkowa lub domyślna jest przechowywana w systemie jako zaszyfrowany zasób. Następnie jest dzielony na dwie części — bieżącą instancję konfiguracji umieszczoną w zmapowanym regionie pamięci oraz mechanizm trwałości wstrzykiwany do rejestru systemu.