Атропозия КРЫС
Atroposia — это коммерческий троян удалённого доступа (RAT), рекламируемый на подпольных форумах. Он предоставляет своим операторам глубокий и скрытый контроль над скомпрометированными устройствами и богатый инструментарий для кражи данных, манипулирования поведением сети и проверки систем на наличие дополнительных уязвимостей. В связи с широкими возможностями и возможностями обхода системы защиты, любое подтверждённое присутствие Atroposia на устройстве требует немедленного удаления.
Вредоносное ПО предлагается потенциальным «клиентам» на трех уровнях оплаты:
Ежемесячная арендная плата: 200 долларов
Ежеквартально: 500 долларов США (три месяца)
Полугодовая: 900 долларов (шесть месяцев)
Оглавление
Скрытность, настойчивость и командный канал
Atroposia создана для скрытности. Она может автоматически повышать привилегии (обходя UAC), использует несколько методов сохранения работоспособности, что позволяет ей выдерживать перезагрузки, и разработана для обхода обнаружения антивирусами. Её связь с командными серверами операторов зашифрована, а веб-панель управления упрощает выполнение вредоносных задач даже для злоумышленников средней квалификации.
Скрытое дистанционное управление и работа с файлами
Характерной особенностью Atroposia является скрытый компонент удалённого рабочего стола (продаётся как «HRDP Connect»), который открывает невидимый сеанс на компьютере жертвы, позволяя удалённому пользователю взаимодействовать с рабочим столом, не привлекая к себе внимания. Кроме того, Atroposia включает в себя файловый менеджер, позволяющий злоумышленникам просматривать диски и папки, искать файлы, загружать, удалять или запускать их удалённо.
Массовый сбор и скрытая упаковка
RAT содержит граббер, который ищет файлы по расширению или ключевому слову и упаковывает совпадения в защищённый паролем ZIP-архив. Он может собирать и упаковывать данные полностью в памяти или использовать встроенные системные утилиты, минимизируя количество остаточных артефактов на диске и усложняя криминалистическую экспертизу.
Возможности кражи учетных данных и кошельков
Модуль Atroposia собирает широкий спектр конфиденциальной информации: сохранённые пароли браузеров, учётные данные бизнес-приложений и VPN-клиентов, данные мессенджеров, данные менеджеров паролей (если они доступны) и информацию о криптовалютных кошельках. Он также перехватывает содержимое буфера обмена (всё, что пользователь копирует или вырезает), регистрирует и сохраняет эти записи. Он даже может перезаписывать содержимое буфера обмена, заменяя скопированные адреса кошельков или учётные данные — этот приём полезен для вывода средств или взлома аккаунтов.
Сетевые манипуляции и перехват DNS
Вредоносное ПО может изменять настройки DNS или иным образом перехватывать поиск имён, незаметно перенаправляя браузер жертвы на поддельные сайты, контролируемые злоумышленниками (например, на поддельные страницы входа). Поскольку браузер может по-прежнему отображать ожидаемый URL-адрес, жертвы могут быть обманным путём введены учётные данные, думая, что они находятся на легитимном сайте.
Сканирование уязвимостей и возможности эскалации
Atroposia включает в себя сканер, который проверяет зараженный хост на наличие недостающих обновлений, слабых конфигураций и устаревшего программного обеспечения. В корпоративных средах это может выявить важные цели — неисправленные VPN-клиенты, ошибки повышения привилегий и другие уязвимости, — которые злоумышленники затем используют для расширения доступа в сети.
Системная телеметрия и средства дистанционного управления
Помимо защиты от кражи данных и доступа к удалённому рабочему столу, RAT собирает системные метаданные (IP-адреса, версию ОС, геолокацию и другие данные об окружении), может составлять список запущенных процессов и управлять ими, а также поддерживает удалённое завершение работы и перезагрузку. Набор инструментов также включает дополнительные, менее ресурсоёмкие утилиты, которые в совокупности обеспечивают высокую эксплуатационную гибкость.
Как обычно происходят инфекции
Вредоносные или вредоносные документы (например, зараженные PDF-файлы или другие вложения, распространяемые по электронной почте)
Пакеты пиратского ПО, скрытые эксплойты, мошенническая реклама, фиктивные схемы технической поддержки, P2P/общие файлы, обманные сайты загрузки, сторонние установщики и аналогичные каналы
Почему эти методы доставки успешны: злоумышленники прибегают к социальной инженерии (поддельные документы, заманчивые загрузки или запросы на запуск файлов) или используют уязвимости и обманные установщики — большинство заражений происходит, когда пользователя обманным путем заставляют запустить вредоносное ПО.
Резюме воздействия
Atroposia обеспечивает комплексную кражу данных (файлов, учётных данных, данных буфера обмена, криптокошельков), скрытое удалённое управление, перенаправление сетевых атак посредством подмены DNS и разведку для дальнейшей эксплуатации. Скрытая архитектура Atroposia (эскалация привилегий, сохранение, упаковка в памяти, шифрование командного сервера и скрытые удалённые сеансы) делает её особенно опасной как для отдельных лиц, так и для организаций.
Немедленный ответ
Если в системе обнаружена или подозревается наличие Atroposia, отключите устройство от сетей, сохраните журналы для анализа (по возможности) и удалите вредоносное ПО как можно скорее. Поскольку операторы могут использовать собранные учётные данные и побочные маршруты, рассматривайте любую взлом как потенциально масштабную угрозу и рассмотрите возможность ротации паролей, отзыва токенов и проведения более масштабного внутреннего расследования.
