ReverseRat

Исследователи обнаружили потенциально опасную атакующую кампанию с использованием ранее неизвестного троянца удаленного доступа (RAT) ReverseRat. Угроза, наряду с RAT с открытым исходным кодом под названием AllaKore, была развернута против узкого набора избранных целей, работающих в критических отраслях промышленности. Среди опознанных жертв - иностранная правительственная организация, компания по передаче электроэнергии и организация по производству и передаче электроэнергии. Почти все организации, демонстрирующие признаки, соответствующие IoC (Индикаторам компрометации), наблюдаемым в кампании ReverseRat, расположены в Индии, и лишь небольшое количество жертв - из Афганистана. Что касается террориста, ответственного за теракты, то он либо действует из Пакистана, либо имеет связи с этой страной.

Возможности ReverseRat

После успешного развертывания во внутренней сети жертвы ReverseRat позволяет злоумышленнику выполнять множество угрожающих действий в зависимости от их конкретных целей. Начнем с самого начала - угроза начинает свою работу с перечисления скомпрометированного устройства и сбора различных данных о нем с помощью инструментария управления Windows (WMI). Среди собранной информации - MAC-адрес устройства, физическая память, подключенная к нему, и многочисленные сведения о процессоре - максимальная тактовая частота, название модели, производитель и т. Д. ReverseRat также определяет имя компьютера, операционную систему и общедоступный IP-адрес через .NET Framework.

Все собранные данные затем кодируются и отправляются на узел Command-and-Control (C2, C&C). Затем ReverseRat ожидает получения соответствующей команды, которая соответствует его предварительно созданным функциям. Злоумышленник может дать команду RAT изменить файловую структуру в системе; запускать, запускать или завершать указанные процессы, собирать данные из буфера обмена, делать снимки экрана и выполнять произвольные команды из скрытого окна cmd.exe. Однако этот базовый набор функций может быть расширен дополнительными модулями, которые ReverseRat может загружать и запускать в взломанной системе.

RAT представляют собой чрезвычайно опасное вредоносное ПО, и даже организации, которые не подпадают под текущие критерии жертв ReverseRat, должны принять необходимые меры предосторожности и скорректировать свои меры безопасности.