MysterySnail RAT

MysterySnail RAT jest zagrożeniem, które według ustaleń dokonanych przez badaczy infosec jest powiązane z chińską grupą APT (Advanced Persistent Threat) IronHusky. Zagrożenie to jest opisane jako trojan typu zdalnego powłoki i ma niezwykle duże rozmiary 8,29 MB. Istnieje kilka przyczyn nieprawidłowego rozmiaru. Po pierwsze, MysterySnail RAT jest kompilowany statycznie z biblioteką OpenSSL i zawiera niewykorzystany kod z tej biblioteki. Po drugie, zawiera dwie duże funkcje, które nie mają żadnego praktycznego zastosowania poza marnowaniem cykli zegara procesora.

Prawdopodobną przyczyną włączenia dużych fragmentów zbędnego kodu jest zwiększenie możliwości wykrywania i emulacji zagrożenia. Ten wniosek jest również wspierany przez uwzględnienie różnych nadmiarowych logik, a także wielu eksportowanych funkcji, podczas gdy tylko jedna wykonuje rzeczywiste zadania.

Szczegóły MysterySnail RAT

Jako całość MysterySnail RAT nie należy do najbardziej wyrafinowanych zagrożeń tego typu.Rekompensuje to jednak rozszerzoną listę funkcjonalności (zagrożenie może rozpoznać w sumie 20 różnych poleceń), takich jak wykrywanie wszelkich włożonych napędów dysków lub możliwość działania jako proxy. Po otrzymaniu odpowiedniego polecenia z serwera Command-and-Control (C&C, C2) zagrożenie jest w stanie manipulować systemem plików zaatakowanego systemu poprzez tworzenie, odczytywanie, przesyłanie lub usuwanie wybranych plików. MysterySnail RAT może również uruchamiać lub kończyć procesy. Ponadto może otworzyć okno wiersza polecenia, umożliwiające atakującym wykonanie dowolnych poleceń.

Jedną z pierwszych czynności wykonywanych przez MysterySnail RAT jest zebranie danych o naruszonym systemie. Złośliwe oprogramowanie zbiera szczegóły, takie jak nazwa komputera, nazwa produktu Windows, adres IP, nazwa użytkownika i inne. Wszystkie zebrane informacje są następnie przesyłane na serwer C2. Jeśli chodzi o adres serwera, analizowane próbki zagrożeń zawierały dwa zakodowane na stałe adresy URL przechowywane w postaci zwykłego tekstu, które działały jako wabiki. Rzeczywisty adres URL jest dekodowany przez jednobajtowy xor, który dostarcza adres 'http[.]ddspadus[.]com'.