PY#RATION RAT

Nova napadalna kampanja je bila ujeta v naravi. Grozeča operacija uporablja novo zlonamerno programsko opremo, ki temelji na Pythonu, poimenovano PY#RATION RAT. Kot običajno pri teh trojancih za oddaljeni dostop (RAT), ima PY#RATION obsežen nabor škodljivih zmožnosti, vključno z izločanjem podatkov in zapisovanjem tipk. Zaradi česar je ta grožnja še posebej edinstvena, je njena uporaba spletnih vtičnic tako za komunikacijo ukazov in nadzora (C2, C&C) kot za izločanje, kot tudi njena sposobnost, da se izogne odkrivanju rešitev proti zlonamerni programski opremi in varnostnih ukrepov omrežja.

Podrobnosti o PY#RATION RAT so razkrili v poročilu raziskovalcev kibernetske varnosti. Po njihovih ugotovitvah so kiberkriminalci, ki stojijo za grožnjo, osredotočeni predvsem na tarče v Veliki Britaniji ali Severni Ameriki, sodeč po vabah za lažno predstavljanje, uporabljenih kot del napada.

Napadna veriga PY#RATION

Napad se začne z zavajajočim lažnim e-poštnim sporočilom, ki vsebuje arhiv ZIP. Znotraj arhiva sta dve datoteki z bližnjicami (.LNK), ki predstavljata sprednjo in zadnjo sliko domnevno pristnega vozniškega dovoljenja Združenega kraljestva. Ko odprete vsako od teh datotek .LNK, se dve besedilni datoteki pridobita iz oddaljenega strežnika in nato shranita kot datoteki .BAT.

Medtem ko so žrtvi prikazane vabne slike, se škodljive datoteke izvajajo tiho v ozadju sistema. Poleg tega se s strežnika C2 prenese še en paketni skript, ki pridobi druge obremenitve, vključno z dvojiško datoteko Python z imenom »CortanaAssistance.exe«. Uporaba Cortane, Microsoftovega virtualnega pomočnika, pomeni, da so napadalci morda poskušali svojo poškodovano kodo prikriti kot zakonito sistemsko datoteko.

PY#RATION RAT-ove škodljive sposobnosti

Odkriti sta bili dve različici trojanca PY#RATION (različica 1.0 in 1.6). Novejša različica vključuje skoraj 1000 vrstic dodatne kode, ki doda funkcije skeniranja omrežja za pregled ogroženih omrežij in šifrirno plast nad kodo Python z uporabo modula fernet. Poleg tega lahko grožnja prenese datoteke iz poškodovanega gostitelja na njegov strežnik C2 in obratno.

RAT lahko začne beležiti pritiske tipk, izvaja sistemske ukaze, ekstrahira gesla in piškotke iz spletnih brskalnikov, zajema podatke iz odložišča in zazna prisotnost varnostne programske opreme. Akterji groženj lahko uporabijo PY#RATION kot prehod za uvedbo koristnih obremenitev drugih groženj, kot je drug kraj informacij, ki temelji na Pythonu in je izrecno ustvarjen za pridobivanje podatkov iz spletnih brskalnikov in denarnic za kriptovalute.