CetaRAT

CetaRAT - это троян для удаленного доступа (RAT), написанный с использованием языка программирования C #. Его основная функция - осуществлять шпионскую деятельность, при которой он собирает, а затем извлекает конфиденциальные данные с взломанных машин. Впервые угроза была замечена сообществом информационной безопасности, когда она была развернута в ходе все еще продолжающейся операции SideCopy, кампании нападения, нацеленной на индийские силы обороны и личный состав вооруженных сил. С тех пор CetaRAT расширяет сферу своей деятельности и используется в дополнительных атаках на правительственные учреждения Индии.

Цепочка атак

Цепочка заражения CetaRAT начинается с рассылки целевых фишинговых писем, содержащих вложения, предназначенные для использования в качестве оружия. Поврежденные вложения могут иметь форму ZIP-архива, который извлекает файл HTA с удаленного URL-адреса. Выполнение файла HTA переносит угрозу CetaRAT на машину жертвы. До сих пор наблюдались два разных метода.

В первом, после того, как файл HTA инициирован, он приступает к созданию и выполнению файла JavaScript, помещенного в папку «C: \ ProgramData». Сценарий отвечает за показ ложного документа ничего не подозревающей жертве, чтобы отвлечь ее от того факта, что полезная нагрузка CetaRAT сбрасывается в месте запуска системы. Документы-приманки обычно содержат информацию по актуальной теме, касающейся региона и Индии в частности.

Второй метод видит создание и выполнение командных файлов, помещенных в папку со случайным именем на диске C скомпрометированного устройства. Следующим шагом является добавление записи реестра в HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, указывающей на полезную нагрузку CetaRAT. В этом случае исполняемый файл угрозы находится в папке «% AppData / Roaming%».

Собранные данные

Прежде чем CetaRAT активирует свои основные функции, угроза выполняет сканирование всех работающих антивирусных решений и отправляет полученные данные на свой сервер Command-an-Control (C2, C&C). После этого он начинает сбор различных сведений о системе, включая имя компьютера, IP-адрес, сведения о памяти, информацию о процессоре, данные ОС и многое другое.

Когда начальная информация о взломанном устройстве будет передана, CetaRAT будет ждать дополнительных команд. Злоумышленник может проинструктировать RAT получить дополнительные полезные данные и выполнить их, манипулировать файловой системой жертвы, делать произвольные снимки экрана, выполнять произвольные команды и другие второстепенные действия. Все собранные данные шифруются с помощью алгоритма RC4 перед передачей на сервер C2.