PowerShell RAT

Výskumníci v oblasti kybernetickej bezpečnosti identifikovali novú hrozbu RAT (Remote Access Threat), ktorú kyberzločinci použili proti cieľom v Nemecku. Trójsky kôň je sledovaný ako PowerShell RAT a je nasadzovaný prostredníctvom poškodených webových stránok pomocou vojny na Ukrajine ako návnady.

PowerShell RAT je vybavený typickou funkcionalitou očakávanou od hrozieb tohto typu. Po nasadení do cieľových systémov začne zbierať relevantné údaje o zariadení. Ako už názov napovedá, primárne funkcie hrozby sa točia okolo vykonávania príkazov skriptu PowerShell. Okrem toho môžu aktéri hrozby exfiltrovať vybrané súbory z narušeného systému alebo naň nasadiť ďalšie užitočné zaťaženie. To umožňuje útočníkom rozšíriť svoje schopnosti v rámci systému v závislosti od ich cieľov. Môžu si stiahnuť a spustiť ďalšie trójske kone, ransomvérové hrozby, kryptomeny atď.

Webová stránka s návnadou šíriacu PowerShell RAT je navrhnutá tak, aby sa veľmi podobala webovej stránke nemeckého štátu Bádensko-Württembersko. Aktéri hrozieb dokonca použili doménu – cooperation-bw(dot)de, ktorá bola predtým spojená s oficiálnou stránkou. Na falošnej stránke by sa používateľom zobrazovali presné informácie o udalostiach týkajúcich sa vojny na Ukrajine. Stránka sa pokúsi presvedčiť svojich návštevníkov, aby si stiahli súbor s názvom '2022-Q2-Bedrohungslage-Ukraine.chm.txt.' Po otvorení sa v súbore zobrazí falošné chybové hlásenie o predpokladanom probléme, zatiaľ čo kompromitovaný skript sa na pozadí potichu spustí. Skript spustí reťazec infekcie PowerShell RAT.