FlawedGrace RAT

FlawedGrace - это название полноценной RAT (угрозы удаленного доступа), которая является частью угрожающего арсенала финансово мотивированной банды киберпреступников, отслеживаемых как TA505 (или Hive0065). Группа была активна как минимум с 2014 года и является одной из самых плодотворных, ей приписывают множество атак. Другой отличительной особенностью TA505 является его склонность к частому изменению как своих TTP (тактик, методов и процедур), так и типов угроз со стороны вредоносных программ. Группа была замечена проведение массовых кампаний по электронной почте спам , доставляющих Dridex банковского трояна, прежде чем перейти к распределяя Locky и Jaff угрозы вымогателей, в TrickBot банковских троянов и многое другое.

Подробнее о FlawedGrace

Впервые FlawedGrace RAT был обнаружен исследователями информационной безопасности в ноябре 2017 года. Это мощный RAT, написанный на языке программирования C ++. Он способен распознавать несколько входящих команд с сервера Command-and-Control, отправленных через настраиваемый двоичный протокол с использованием порта 443. Угрозе можно дать указание получить дополнительные поврежденные модули, а затем загрузить и выполнить их. Он также может загружать и извлекать выбранные файлы, собирать конфиденциальную информацию о пользователях, такую как пароли и многое другое.

В ходе последних атак, проведенных TA505, была развернута обновленная версия FlawedGrace RAT. Хотя полный анализ изменений все еще продолжается, до сих пор исследователи наблюдали, что угроза теперь использует зашифрованные строки и запутанные вызовы API. Еще одно отличие было обнаружено в том, как угроза хранила свою конфигурацию. Начальная конфигурация или конфигурация по умолчанию хранится в системе как зашифрованный ресурс. После этого он делится на две части: текущий экземпляр конфигурации, помещенный в отображаемую область памяти, и механизм сохранения, внедренный в системный реестр.