SombRAT

SombRAT

SombRAT é uma ameaça de backdoor observada em campanhas pelo que se acredita ser um grupo de atores de ameaças chamado CostaRicto, que oferece serviços de hacking para aluguel. As ferramentas que eles usam, incluindo o SombRAT, parecem ser feitas sob medida ou especificamente elaboradas para este grupo de hackers, pois não aparecem fora das operações do CostaRicto.

Certos detalhes encontrados dentro do código do SombRAT apontam que, em algum momento, a ameaça de malware foi chamada de Sombra, um personagem do popular jogo Overwatch que é descrito como especialista em espionagem e avaliação de inteligência que possui grandes habilidades de hacking. Escrito em C ++, SombRAT é caracterizado por ter uma funcionalidade backdoor típica que é encantada por uma arquitetura de plug-in. Isso significa que os atacantes do CostaRicto usam a ameaça principalmente como um intermediário que descarta e executa plug-ins ou binários corrompidos adicionais e pode exfiltrar dados específicos do sistema, encerrar processos e fazer upload de arquivos para a infraestrutura de comando e controle (C&C, C2) em seu próprio.

Ao ser executado no computador de destino, o SombRAT primeiro verifica se está sendo executado como um serviço e, em seguida, cria um mutex de execução única contendo & HOSTNAME & seguido por 'S,' 'U' ou 'SU', determinado pelos privilégios específicos que a ameaça foi executada com. Quando totalmente implantado, o SombRAT pode reconhecer 50 comandos diferentes que podem ser amplamente divididos em seis grupos, cada um com uma interface separada - Core, Taskman, Config, Storage, Debug e Network.

Antes de começar a receber comandos, o SombRAT deve estabelecer uma conexão com os servidores C2. Isso é obtido por meio de túnel DNS ou soquetes TCP, com o tráfego de comunicação criptografado com RSA-2048. O domínio C2 é codificado na ameaça, enquanto o subdomínio é determinado através do uso de um Algoritmo de Geração de Domínio (DGA).

Todos os dados coletados pelo SombRAT junto com seus detalhes de configuração e quaisquer plug-ins baixados são colocados em um arquivo criado no diretório% TEMP% com um formato de banco de dados personalizado. O arquivo usa AES-256 como algoritmo de criptografia e, sempre que o malware deseja ler o que já está armazenado ou adicionar novas informações, ele deve descriptografar e criptografar novamente todo o arquivo.

Tendendo

Mais visto

Carregando...