RATicate

Eksperci od szkodliwego oprogramowania zauważyli nową grupę hakerską, która wydaje się specjalizować w RAT (trojanach zdalnego dostępu). Z tego powodu grupie cyberprzestępczej nadano nazwę RATicate. Jednak grupa hakerska RATicate wykorzystuje inne zagrożenia, takie jak tylne drzwi i złodzieje informacji. Grupa RATicate pojawiła się po raz pierwszy w 2019 r. i od tego czasu przeprowadziła szereg głośnych ataków. Grupa RATicate polega na jednej infrastrukturze dla wszystkich swoich ataków, niezależnie od zastosowanych narzędzi hakerskich. Dzięki temu analitycy szkodliwego oprogramowania mogli ustalić, że między listopadem 2019 r. a styczniem 2020 r. grupa hakerska RATicate przeprowadziła pięć operacji RAT na dużą skalę.

Większość kampanii grupy RATicate koncentruje się w Korei Południowej, Europie i na Bliskim Wschodzie. Celem grupy RATicate są przedsiębiorstwa działające w różnych branżach. Po operacji na masową skalę, która miała miejsce w styczniu 2020 r., grupa RATicate zamilkła na chwilę, dopóki nie wróciła na światło dzienne z operacją o tematyce koronawirusowej. Ich najnowsza kampania została wykorzystana do dostarczenia kilku różnych RAT za pomocą technik phishingowych. Wielu cyberprzestępców wykorzystuje treści związane z COVID-19 do phishingu użytkowników, więc zachowaj ostrożność, jeśli otrzymasz wiadomość e-mail dotyczącą pandemii. Jest prawdopodobne, że może to być schemat lub inna groźna treść, z którą w żadnych okolicznościach nie powinieneś wchodzić w interakcje.

Jednym z charakterystycznych ruchów grupy hakerskiej RATicate jest użycie instalatorów NSIS. Narzędzie NSIS to legalne narzędzie, którego programiści używają do tworzenia instalatorów dla różnych aplikacji. Fakt, że narzędzie NSIS ma budowę modułową, umożliwia atakującym modyfikację jego funkcjonalności poprzez dodawanie dodatkowych wtyczek i funkcji. Grupa hakerska RATicate prawdopodobnie użyje tej funkcji do rozszerzenia funkcji instalatorów i umożliwienia im:

• Zabij aktywne procesy.
• Dekompresuj pliki.
• Załaduj uszkodzone biblioteki DLL (biblioteki łączy dynamicznych).
• Wykonywać polecenia.

Większość kampanii grupy RATicate wykorzystuje dobrze znane narzędzia hakerskie, takie jak Betabot , NetWire RAT , Agent Tesla , Lokibot , Remcos RAT , Formbook , itp. Ponieważ cyberprzestępcy z RATicate używają popularnych narzędzi hakerskich jako końcowych ładunków, renomowany, up- aktualne rozwiązanie anty-malware będzie w stanie chronić Twój system.