9002 RAT

O 9002 RAT é um Trojan de Acesso Remoto ou RAT usado para controlar um computador de destino. O 9002 RAT foi usado em um ataque de malware de larga escala em 2018. Essa operação, conhecida como "Operação Assinatura Red", visava várias grandes empresas na Coreia do Sul. O 9002 RAT foi fundamental para esse ataque, que foi usado para fornecer uma ampla variedade de ferramentas de malware e hacking aos dispositivos visados.

O 9002 RAT é Outro Ataque de Malware na Coréia do Sul

O ataque de 2018 do 9002 RAT na Coreia do Sul foi um ataque da cadeia de fornecimento, o que significa que o 9002 RAT foi distribuído corrompendo uma parte do software usado pelas vítimas e, em seguida, o malware foi entregue através de uma atualização de software. Esses ataques podem ser bastante eficazes, pois é menos provável que as vítimas suspeitem de atualizações de software legítimas já presentes em seus dispositivos. O 9002 RAT foi distribuído usando táticas de spear phishing, direcionou ataques a alvos específicos em vez de tentar infectar o maior número possível de vítimas.

Detalhes Adicionais sobre o Ataque do 9002 RAT em 2018

Um aspecto da campanha 2018 9002 RAT que chamou a atenção dos pesquisadores de segurança do PC é que os criminosos adicionaram um cronômetro para tornar ainda menos provável a detecção da presença do 9002 RAT nos dispositivos alvo. O 9002 RAT foi configurado para estar ativo somente entre 18 de julho e 31 de julho de 2018 e, em seguida, interromper todas as operações. O 9002 RAT, neste caso, foi usado para fornecer uma ampla variedade de ferramentas de hacking para executar uma ampla variedade de operações nos computadores das vítimas. Além deste ataque, os analistas de malware também receberam relatos dos ataques do 9002 RAT sendo usados para realizar ataques de ransomware, onde uma variante de ransomware foi entregue à vítima, que foi usada para tomar o refém do dispositivo da vítima para exigir um pagamento de resgate.

Analisando o Malware e Ferramentas Entregues pelo 9002 RAT na Operação Red Signature

O ataque do 9002 RAT em 2018 entregou os seguintes arquivos nocivos aos alvos sul-coreanos:

  • DsGet, uma ferramenta usada para exibir objetos do diretório ativo no dispositivo de destino.
  • DsQuery, uma ferramenta usada para procurar objetos do diretório ativo no dispositivo de destino.
  • SharpHound, uma ferramenta usada para receber informações do diretório ativo no dispositivo de destino.
  • All In One (AIO) é uma ferramenta de hack pública disponível para diversas tarefas.
  • O SQL Password dumper é um programa projetado para despejar senhas de bancos de dados SQL.
  • O Printdat.dll é um RAT (variante do PlugX), uma ferramenta de acesso remoto usada para controlar o dispositivo da vítima a partir de um local remoto.
  • O IIS 6 WebDav Exploit Tool é um programa usado para explorar a vulnerabilidade do CVE-2017-7269 (IIS 6).
  • WebBrowserPassView é uma ferramenta usada para coletar uma senha armazenada no navegador da Web do computador infectado.
  • O smb.exe, um programa conhecido como Scanner, é uma ferramenta projetada para verificar a versão do sistema e o nome do computador.
  • m.exe é uma versão personalizada o Mimikatz (incluindo arquivo de 32 bits/64 bits), uma ferramenta de hacking popular que é usada para verificar a senha do computador e as credenciais do diretório ativo.

Ataques como o usado em 2018 para entregar o 9002 RAT que usa táticas de cadeia de suprimentos são ameaçadores, porque eles podem afetar as várias conexões entre diferentes empresas, fornecedores e indivíduos, especialmente. É necessário que as empresas que operam com várias subsidiárias e possuam redes e dispositivos que entrem em contato levem em consideração a segurança do computador ao se fundirem ou terem qualquer tipo de relacionamento comercial para proteger a integridade de todos os dados contra ameaças como o 9002 RAT.

Tendendo

Mais visto

Carregando...