CetaRAT

O CetaRAT é uma ameaça de Trojan de Acesso Remoto (RAT),escrita usando a linguagem de programação C#. Sua principal função é realizar atividades de espionagem, onde coleta e, em seguida, extrai dados confidenciais das máquinas comprometidas. A ameaça foi notada pela primeira vez pela comunidade infosec quando foi implantada na ainda em andamento Operação SideCopy, uma campanha de ataque dirigida às forças de defesa indianas e ao pessoal das forças armadas. Desde então, o CetaRAT vem expandindo seu alcance e sendo alavancado em ataques adicionais contra agências governamentais indianas.

A Corrente de Ataque

A cadeia de infecção do CetaRAT começa com a distribuição de e-mails de spear-phishing com um anexo como arma. Os anexos corrompidos podem assumir a forma de um arquivo ZIP que busca um arquivo HTA de um URL remoto. A execução do arquivo HTA entrega a ameaça do CetaRAT na máquina da vítima. Até agora, dois métodos diferentes foram observados.

No primeiro, após o arquivo HTA ser iniciado, ele passa a criar e executar um arquivo JavaScript localizado no 'C:\ProgramData'. O script é responsável por mostrar um documento falso para as vítima desavisadas para distraí-las do fato de que a carga útil do CetaRAT está sendo descartada no local de inicialização do sistema. Os documentos do engodo geralmente trazem informações sobre um tópico relevante sobre a região e a Índia em particular.

O segundo método vê a criação e execução de arquivos em lote colocados em uma pasta nomeada aleatoriamente na unidade C do dispositivo comprometido. A próxima etapa é adicionar uma entrada do Registro no HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run apontando para a carga útil do CetaRAT. Nesse caso, o arquivo executável da ameaça está localizado na pasta '%AppData/Roaming%'.

Dados Coletados

Antes que o CetaRAT ative sua funcionalidade principal, a ameaça executa uma digitalização para todas as soluções anti-vírus em execução e envia os detalhes adquiridos para seu servidor de Command-an-Control (C2, C&C). Depois disso, ele começa a coletar vários detalhes do sistema, incluindo o nome do computador, endereço de IP, detalhes da memória, informações do processador, dados do sistema operacional e muito mais.

Quando as informações iniciais sobre o dispositivo comprometido forem transmitidas, o CetaRAT aguardará comandos adicionais. O ator da ameaça pode instruir o RAT a buscar cargas adicionais e executá-las, manipular o sistema de arquivos da vítima, fazer capturas de tela arbitrárias, executar comandos arbitrários e outras ações intrusivas. Todos os dados coletados são criptografados com o algoritmo RC4 antes de serem transmitidos ao servidor C2.