TSCookieRAT

TSCookieRAT to zagrożenie zdalnego dostępu, które zostało wykorzystane przeciwko japońskim celom przez grupę hakerów noszącą oznaczenie BlackTech. Ta groźna operacja wykorzystała e-maile-przynęty, aby nakłonić docelowych użytkowników do kliknięcia adresu URL prowadzącego do zagrożenia. Należy zauważyć, że TSCookieRAT był również początkowo śledzony pod nazwą PLEAD, ale późniejsze analizy ujawniły pewne różnice między nimi.

E-maile wabiące użyte w kampanii miały pochodzić z Ministerstwa Edukacji, Kultury, Sportu, Nauki i Technologii Japonii. Adres URL podany w wiadomościach e-mail powoduje pobranie zaszyfrowanego pliku DLL, który zawiera komponent ładujący TSCookieRAT. Plik DLL jest następnie ładowany i wykonywany w pamięci. Szkodliwe funkcjonalności zagrożenia są następnie rozbudowywane w późniejszych etapach ataku poprzez pobieranie i uruchamianie dodatkowych modułów z serwera Dowodzenia i Kontroli (C2, C&C) kampanii. Wszystkie komponenty późnego etapu są również uruchamiane w pamięci.

Gdy TSCookieRAT jest gotowy do rozpoczęcia zagrażającej operacji, wysyła żądanie HTTP GET do C&C, a następnie czeka na przychodzące polecenia. Zagrożenie umożliwia konfidentowi uzyskanie znacznego poziomu kontroli nad zainfekowanym systemem. Hakerzy mogą wykonywać dowolne polecenia powłoki, eksfiltrować dane, w tym informacje o dysku i systemie, manipulować systemem plików i zbierać poufne informacje, takie jak hasła z najpopularniejszych przeglądarek internetowych - Chrome, Firefox, Edge, Internet Explorer i klienta poczty e-mail Outlook. Wyniki zebrane w odpowiedzi na odebrane polecenia są następnie przesyłane w tym samym formacie, co pierwsze żądanie HTTP POST.

Kampanie ataków BlackTech na cele japońskie mogą być kontynuowane i mogą wiązać się z różnymi zagrożeniami ze strony złośliwego oprogramowania, dlatego organizacje powinny utrzymywać swoje cyberbezpieczeństwo na zadowalającym poziomie i wdrażać wszelkie poprawki zabezpieczeń oprogramowania w odpowiednim czasie.