Atroposia RAT
Atroposia je komerčne obchodovaný trójsky kôň pre vzdialený prístup (RAT) predávaný na podzemných fórach. Svojim operátorom poskytuje hlbokú a nenápadnú kontrolu nad napadnutými počítačmi a bohatú sadu nástrojov na krádež údajov, manipuláciu so správaním siete a skúmanie systémov, či neobmedzujú ďalšie hrozby. Vzhľadom na jeho široké možnosti a funkcie úniku je potrebné akúkoľvek potvrdenú prítomnosť Atroposia na zariadení okamžite odstrániť.
Hrozba škodlivého softvéru sa potenciálnym „zákazníkom“ ponúka v troch platobných úrovniach:
Mesačný nájom: 200 dolárov
Štvrťročne: 500 USD (tri mesiace)
Polročné: 900 USD (šesť mesiacov)
Obsah
Nenápadnosť, vytrvalosť a veliteľský kanál
Atroposia je vytvorená tak, aby zostala skrytá. Dokáže automaticky eskalovať privilégiá (obíde UAC), využíva viacero techník perzistencie, aby prežila reštartovanie, a je navrhnutá tak, aby sa vyhla detekcii antivírusom. Jej komunikácia so servermi ovládania a kontroly operátora je šifrovaná a ovládací panel v webovom štýle zjednodušuje vykonávanie škodlivých úloh aj pre mierne zručných zločincov.
Skryté diaľkové ovládanie a manipulácia so súbormi
Charakteristickou funkciou je skrytý komponent vzdialenej plochy (predávaný ako „HRDP Connect“), ktorý otvorí neviditeľnú reláciu na počítači obete, aby vzdialený aktér mohol interagovať s plochou bez viditeľných signálov pre používateľa. Okrem toho Atroposia obsahuje správcu súborov, ktorý útočníkom umožňuje prehliadať disky a priečinky, vyhľadávať súbory, sťahovať, mazať alebo spúšťať ich na diaľku.
Hromadný zber a nenápadné balenie
RAT obsahuje grabber, ktorý vyhľadáva súbory podľa prípony alebo kľúčového slova a zhody zoskupuje do ZIP súboru chráneného heslom. Dokáže zostaviť a zabaliť dáta celé v pamäti alebo sa spoľahnúť na vstavané systémové nástroje, čím minimalizuje zvyšné artefakty na disku a komplikuje forenznú detekciu.
Možnosti krádeže poverení a peňaženiek
Modul stealer v Atroposii zhromažďuje širokú škálu citlivého materiálu: uložené heslá prehliadačov, prihlasovacie údaje z obchodných aplikácií a VPN klientov, údaje z programov na odosielanie správ, údaje správcu hesiel, ak sú k dispozícii, a informácie o kryptomenových peňaženkách. Taktiež zachytáva obsah schránky (všetko, čo používateľ skopíruje alebo vystrihne), zaznamenáva a ukladá tieto položky. Dokonca dokáže prepísať obsah schránky a nahradiť skopírované adresy peňaženiek alebo prihlasovacie údaje – technika užitočná na odčerpávanie finančných prostriedkov alebo únos účtov.
Manipulácia so sieťou a únos DNS
Malvér môže zmeniť nastavenia DNS alebo inak zachytiť vyhľadávanie mien, takže prehliadač obete je potichu presmerovaný na podvodné stránky ovládané útočníkom (napríklad falošné prihlasovacie stránky). Keďže prehliadač môže stále zobrazovať očakávanú URL adresu, obete môžu byť oklamané a zadať prihlasovacie údaje, pričom si myslia, že sa nachádzajú na legitímnej stránke.
Skenovanie zraniteľností a možnosti eskalácie
Atroposia obsahuje skener, ktorý kontroluje infikovaný hostiteľ, či neobsahuje chýbajúce záplaty, slabé konfigurácie a zastaraný softvér. V podnikových prostrediach to môže odhaliť vysokocenné ciele – neopravených VPN klientov, chyby s eskaláciou privilégií alebo iné riziká – ktoré útočníci potom zneužijú na rozšírenie prístupu v sieti.
Nástroje na telemetriu systému a diaľkové ovládanie
Okrem krádeže dát a vzdialenej pracovnej plochy zhromažďuje RAT systémové metadáta (IP adresy, verziu operačného systému, geolokáciu a ďalšie podrobnosti o prostredí), dokáže zobraziť a spravovať spustené procesy a podporuje operácie vzdialeného vypnutia a reštartu. Sada nástrojov obsahuje aj ďalšie nástroje s menším dopadom, ktoré spolu poskytujú širokú prevádzkovú flexibilitu.
Ako sa infekcie zvyčajne vyskytujú
Škodlivé alebo zneužité dokumenty (napríklad infikované súbory PDF alebo iné prílohy distribuované e-mailom)
Balíky na narúšanie softvérového pirátstva, podvodné útoky typu „drive-by“, falošné reklamy, falošné schémy technickej podpory, P2P/zdieľané súbory, klamlivé stránky na sťahovanie, inštalátory tretích strán a podobné kanály
Prečo sú tieto metódy doručovania úspešné: útočníci sa spoliehajú na sociálne inžinierstvo (falošné dokumenty, lákavé sťahovanie alebo požiadavky na spustenie súborov) alebo na zneužívanie zraniteľností a klamlivých inštalátorov – väčšina infekcií sa stane, keď je používateľ oklamaný a spustí malvér.
Zhrnutie vplyvu
Atroposia umožňuje komplexnú exfiltráciu dát (súbory, prihlasovacie údaje, dáta zo schránky, krypto peňaženky), skryté diaľkové ovládanie, presmerovanie siete prostredníctvom manipulácie s DNS a prieskum pre ďalšie zneužitie. Jej nenápadná architektúra (eskalácia privilégií, perzistencia, balenie v pamäti, šifrovaný C2 a skryté vzdialené relácie) ju robí obzvlášť nebezpečnou pre jednotlivcov aj organizácie.
Okamžitá reakcia
Ak existuje podozrenie na Atroposiu alebo je v systéme zistená, odpojte zariadenie od sietí, ak je to možné, uschovajte protokoly na analýzu a čo najskôr odstráňte malvér. Keďže operátori môžu používať získané prihlasovacie údaje a bočné trasy, považujte akékoľvek narušenie za potenciálne rozsiahle a zvážte rotáciu hesiel, zrušenie tokenov a vykonanie širšieho interného vyšetrovania.
