ReverseRat
Potencjalnie szkodliwa kampania ataków wykorzystująca nieznanego wcześniej trojana zdalnego dostępu (RAT) o nazwie ReverseRat została wykryta przez badaczy. Zagrożenie, wraz z RAT o otwartym kodzie źródłowym o nazwie AllaKore, zostało wdrożone przeciwko wąskiemu zestawowi wybranych celów działających w krytycznych sektorach przemysłu. Niektóre ze zidentyfikowanych ofiar obejmują organizację zagranicznego rządu, firmę zajmującą się przesyłem energii oraz organizację zajmującą się wytwarzaniem i przesyłem energii. Prawie wszystkie organizacje, które nosiły znaki zgodne z IoC (Indicators of Compromise) zaobserwowanym w kampanii ReverseRat, znajdują się w Indiach, a tylko niewielka liczba ofiar pochodzi z Afganistanu. Jeśli chodzi o podmiot odpowiedzialny za ataki, wydaje się, że albo działa z Pakistanu, albo ma powiązania z tym krajem.
Możliwości ReverseRat
Po pomyślnym wdrożeniu w wewnętrznej sieci ofiary, ReverseRat umożliwia cyberprzestępcy wykonywanie wielu groźnych działań, w zależności od ich konkretnych celów. Zacznijmy od początku — zagrożenie rozpoczyna działanie od wyliczenia zaatakowanego urządzenia i zebrania różnych danych na jego temat za pośrednictwem Instrumentacji zarządzania Windows (WMI). Wśród gromadzonych informacji znajdują się adres MAC urządzenia, podłączona do niego pamięć fizyczna oraz liczne szczegóły dotyczące procesora - maksymalna szybkość zegara, nazwa modelu, producent itp. ReverseRat określa również nazwę komputera, system operacyjny i publiczny adres IP za pośrednictwem Ramy .Net.
Wszystkie zebrane dane są następnie kodowane i wysyłane do węzła Command-and-Control (C2, C&C). ReverseRat czeka następnie na otrzymanie odpowiedniego polecenia, które pasuje do jego predefiniowanych funkcji. Aktor zagrożenia może poinstruować program RAT, aby zmodyfikował strukturę plików w systemie; uruchamiaj, uruchamiaj lub zabijaj określone procesy, zbieraj dane ze schowka, rób zrzuty ekranu i wykonuj dowolne polecenia z ukrytego okna cmd.exe. Ten podstawowy zestaw funkcji można jednak rozszerzyć o dodatkowe moduły, które ReverseRat może pobrać i zainicjować w naruszonym systemie.
RAT są niezwykle groźnym złośliwym oprogramowaniem i nawet organizacje, które nie spełniają aktualnych kryteriów ofiar ReverseRat, powinny podjąć niezbędne środki ostrożności i dostosować swoje środki bezpieczeństwa.
