ТайнаУлитка КРЫСА

MysterySnail RAT - это угроза, которая, согласно выводам исследователей информационной безопасности, связана с китайской группой IronHusky APT (Advanced Persistent Threat). Угроза описывается как троян с удаленной оболочкой и имеет необычно большой размер - 8,29 МБ. Причин аномального размера несколько. Во-первых, MysterySnail RAT компилируется статически с библиотекой OpenSSL и имеет неиспользуемый код из этой библиотеки. Во-вторых, он содержит две большие функции, которые не имеют никакого практического назначения, кроме потери тактовых циклов процессора.

Вероятная причина включения больших кусков избыточного кода - повысить возможности защиты от обнаружения и эмуляции угрозы. Этот вывод также подтверждается включением различных избыточных логик, а также нескольких экспортируемых функций, в то время как только одна выполняет фактические задачи.

Детали MysterySnail RAT

В целом MysterySnail RAT не входит в число самых сложных угроз этого типа.Однако это компенсируется расширенным списком функций (угроза может распознавать в общей сложности 20 различных команд), такими как обнаружение любых вставленных дисков или возможность действовать в качестве прокси. После получения соответствующей команды от своего Command-and-Control (C&C, C2) сервера угроза может манипулировать файловой системой скомпрометированной системы путем создания, чтения, загрузки или удаления выбранных файлов. MysterySnail RAT также может запускать или завершать процессы. Кроме того, он может открывать окно командной строки, позволяющее злоумышленникам выполнять произвольные команды.

Одним из первых действий, выполняемых MysterySnail RAT, является сбор данных о взломанной системе. Вредоносная программа собирает такие данные, как имя компьютера, название продукта Windows, IP-адрес, имя пользователя и многое другое. Вся собранная информация затем загружается на сервер C2. Что касается адреса сервера, проанализированные образцы угроз содержали два жестко закодированных URL-адреса, хранящиеся в виде обычного текста, которые действовали как ловушки. Настоящий URL-адрес декодируется однобайтовым xor, доставляющим адрес «http [.] Ddspadus [.] Com».