Atroposia RAT
Atroposia je komercialno trgovan trojanski konj za oddaljeni dostop (RAT), ki se trži na podzemnih forumih. Svojim operaterjem omogoča globok, prikrit nadzor nad ogroženimi računalniki ter bogat nabor orodij za krajo podatkov, manipuliranje z delovanjem omrežja in iskanje nadaljnjih slabosti v sistemih. Zaradi širokih zmogljivosti in funkcij izogibanja je treba vsako potrjeno prisotnost Atroposia v napravi takoj odstraniti.
Grožnja zlonamerne programske opreme se potencialnim »strankam« ponuja v treh plačilnih ravneh:
Mesečna najemnina: 200 $
Četrtletno: 500 USD (tri mesece)
Polletno: 900 USD (šest mesecev)
Kazalo
Prikritost, vztrajnost in kanal ukazov
Atroposia je zasnovana tako, da ostane skrita. Samodejno lahko poveča privilegije (zaobide UAC), uporablja več tehnik vztrajnosti, da preživi ponovne zagone, in je zasnovana tako, da se izogne zaznavanju s strani protivirusnega programa. Njena komunikacija s strežniki za upravljanje in nadzor operaterjev je šifrirana, spletna nadzorna plošča pa poenostavlja izvajanje zlonamernih nalog tudi za zmerno spretne kriminalce.
Skriti daljinski upravljalnik in upravljanje datotek
Značilna funkcija je skrita komponenta oddaljenega namizja (trži se kot »HRDP Connect«), ki odpre nevidno sejo na računalniku žrtve, tako da lahko oddaljeni akter komunicira z namizjem brez vidnih znakov za uporabnika. Poleg tega Atroposia vključuje upravitelja datotek, ki napadalcem omogoča brskanje po pogonih in mapah, iskanje datotek, njihovo prenašanje, brisanje ali izvajanje na daljavo.
Masovno zbiranje in prikrita embalaža
RAT vsebuje grabber, ki išče datoteke po končnici ali ključni besedi in združuje zadetke v ZIP datoteko, zaščiteno z geslom. Podatke lahko v celoti sestavi in zapakira v pomnilniku ali pa se zanese na vgrajene sistemske pripomočke, s čimer zmanjša preostale artefakte na disku in oteži forenzično odkrivanje.
Zmogljivosti za krajo poverilnic in denarnic
Atroposijin modul za krajo podatkov zbira široko paleto občutljivega gradiva: shranjena gesla brskalnika, poverilnice iz poslovnih aplikacij in odjemalcev VPN, podatke iz programov za sporočanje, podatke upravitelja gesel, kjer so na voljo, in podatke o denarnicah s kriptovalutami. Prav tako zajame vsebino odložišča (vse, kar uporabnik kopira ali izreže), beleži in shranjuje te vnose. Lahko celo prepiše vsebino odložišča, da nadomesti kopirane naslove denarnic ali poverilnice – tehnika, uporabna za pretakanje sredstev ali ugrabitev računov.
Manipulacija omrežja in ugrabitev DNS-a
Zlonamerna programska oprema lahko spremeni nastavitve DNS ali kako drugače prestreže iskanja imen, tako da je brskalnik žrtve neopazno preusmerjen na lažna spletna mesta, ki jih nadzoruje napadalec (na primer lažne strani za prijavo). Ker brskalnik še vedno lahko prikaže pričakovani URL, je mogoče žrtve pretentati, da vnesejo poverilnice, medtem ko mislijo, da so na legitimnem spletnem mestu.
Skeniranje ranljivosti in možnosti eskalacije
Atroposia vključuje skener, ki pregleda okuženi gostitelj za manjkajoče popravke, šibke konfiguracije in zastarelo programsko opremo. V poslovnih okoljih lahko to razkrije dragocene tarče – nepopravljene odjemalce VPN, napake pri povečevanju privilegijev ali druge izpostavljenosti – ki jih napadalci nato izkoristijo za razširitev dostopa po omrežju.
Pripomočki za sistemsko telemetrijo in daljinsko upravljanje
Poleg kraje podatkov in oddaljenega namizja RAT zbira sistemske metapodatke (IP-naslove, različico operacijskega sistema, geolokacijo in druge podrobnosti o okolju), lahko navaja in upravlja delujoče procese ter podpira oddaljeno zaustavitev in ponovni zagon. Komplet orodij vključuje tudi dodatna orodja z manjšim vplivom na okolje, ki skupaj zagotavljajo široko operativno prilagodljivost.
Kako se okužbe običajno pojavijo
Zlonamerni ali orožni dokumenti (na primer okuženi PDF-ji ali druge priloge, poslane po e-pošti)
Paketi piratstva programske opreme, zlorabe navideznega dostopa, lažni oglasi, lažne sheme tehnične podpore, datoteke P2P/deljene datoteke, zavajajoča spletna mesta za prenos, namestitveni programi tretjih oseb in podobni kanali
Zakaj so te metode dostave uspešne: napadalci se zanašajo na socialni inženiring (ponarejeni dokumenti, vabljivi prenosi ali zahteve za zagon datotek) ali na zlorabo ranljivosti in zavajajočih namestitvenih programov – večina okužb se zgodi, ko je uporabnik prevaran v izvajanje zlonamerne programske opreme.
Povzetek vpliva
Atroposia omogoča celovito izkoriščanje podatkov (datotek, poverilnic, podatkov iz odložišča, kripto denarnic), prikrito daljinsko upravljanje, preusmeritev omrežja z nedovoljenim spreminjanjem DNS in izvidovanje za nadaljnje izkoriščanje. Zaradi svoje prikrite arhitekture (eskalacija privilegijev, vztrajnost, pakiranje v pomnilniku, šifriran C2 in skrite oddaljene seje) je še posebej nevarna tako za posameznike kot za organizacije.
Takojšen odziv
Če obstaja sum ali odkritje okužbe z virusom Atroposia v sistemu, napravo odklopite iz omrežij, po možnosti shranite dnevnike za analizo in čim prej odstranite zlonamerno programsko opremo. Ker lahko operaterji uporabljajo pridobljene poverilnice in stranske poti, vsako ogrožanje obravnavajte kot potencialno razširjeno in razmislite o menjavi gesel, preklicu žetonov in izvedbi širše notranje preiskave.
