Trojan Backdoor RDAT
Recentemente, uma empresa de telecomunicações do Oriente Médio relatou um ataque cibernético que penetrou em suas defesas e causou danos significativos. O nome da ameaça é Trojan Backdoor RDAT. Parece que a variante do Trojan Backdoor RDAT usada neste ataque mais recente é nova e melhorada em comparação com cópias mais antigas da ameaça. De acordo com analistas de malware, o Trojan Backdoor RDAT foi atualizado pelo infame grupo de hackers OilRig. Esses hackers também são conhecidos como Twisted Kitten e APT34 (Ameaça persistente avançada). Acredita-se que o grupo de hackers OilRig seja originário do Irã. A maioria das campanhas de hackers do APT34 usa truques de engenharia social para fornecer a carga útil ameaçadora ao usuário alvo. No entanto, não foi divulgado se os hackers iranianos usaram o mesmo truque para propagar o Trojan Backdoor RDAT.
A maioria dos malwares depende de uma conexão HTTP para receber comandos dos servidores C&C (Comando e Controle) dos invasores. No entanto, o Trojan Backdoor RDAT utiliza uma técnica muito mais avançada - a esteganografia. Usando a esteganografia, o grupo de hackers OilRig pode usar imagens para ocultar o código. O Trojan Backdoor RDAT usa um '. Imagem BMP ', anexada a um email que serve como método de comunicação. O Trojan Backdoor RDAT lê a imagem entregue por email para receber os comandos dos invasores. O Trojan Backdoor RDAT também é capaz de filtrar dados do host comprometido usando esteganografia.
Parece que o grupo de hackers OilRig também está usando a ferramenta Mimikatz ao lado do Trojan Backdoor RDAT em suas últimas campanhas. Isso permite que os atacantes coletem credenciais de login de suas vítimas. Além disso, o Trojan Backdoor RDAT é capaz de:
- Fazer capturas de tela da área de trabalho do usuário e das janelas ativas.
- Fazer upload de arquivos.
- Baixar arquivos.
- Executar arquivos.
- Reiniciar-se.
- Se autodestruir.
Os dados que o Trojan Backdoor RDAT coleta são armazenados em uma pasta oculta. Como mencionamos, o Trojan Backdoor RDAT usa a esteganografia para filtrar os dados da pasta oculta para o servidor C&C dos invasores.
Acredita-se que o OilRig APT seja apoiado pelo governo do Irã - provavelmente está realizando ataques em nome de políticos de alto escalão. Isso explica por que o grupo de hackers OilRig busca alvos de alto valor no Oriente Médio.