Atroposia RAT
Atroposia është një Trojan me akses në distancë (RAT) i tregtuar komercialisht që tregtohet në forume nëntokësore. Ai u ofron operatorëve të tij kontroll të thellë dhe të fshehtë mbi makinat e kompromentuara dhe një set të pasur mjetesh për vjedhjen e të dhënave, manipulimin e sjelljes së rrjetit dhe hetimin e sistemeve për dobësi të mëtejshme. Për shkak të aftësive të tij të gjera dhe veçorive të shmangies, çdo prani e konfirmuar e Atroposia në një pajisje kërkon heqje të menjëhershme.
Kërcënimi nga programet keqdashëse po u ofrohet 'klientëve' potencialë në tre nivele pagese:
Qira mujore: 200 dollarë
Tremujor: 500 dollarë (tre muaj)
Gjysmëvjetor: 900 dollarë (gjashtë muaj)
Tabela e Përmbajtjes
Fshehtësia, këmbëngulja dhe kanali i komandës
Atroposia është ndërtuar për të mbetur e fshehur. Mund të shkallëzojë automatikisht privilegjet (duke anashkaluar UAC), përdor teknika të shumëfishta të këmbënguljes në mënyrë që t'i mbijetojë rinisjeve dhe është projektuar për të shmangur zbulimin e antivirusit. Komunikimet e saj me serverat e komandës dhe kontrollit të operatorit janë të enkriptuara dhe një panel kontrolli në stilin e internetit thjeshton ekzekutimin e detyrave dashakeqe edhe për kriminelët me aftësi të moderuara.
Telekomandë e fshehur dhe trajtim skedarësh
Një veçori nënshkrimi është një komponent i fshehur i desktopit në distancë (i tregtuar si 'HRDP Connect') që hap një seancë të padukshme në makinën viktimë në mënyrë që një aktor në distancë të mund të bashkëveprojë me desktopin pa shenja të dukshme për përdoruesin. Duke plotësuar këtë, Atroposia përfshin një menaxher skedarësh që i lejon sulmuesit të shfletojnë disqet dhe dosjet, të kërkojnë skedarë, t'i shkarkojnë, fshijnë ose ekzekutojnë ato nga distanca.
Mbledhje masive dhe paketim i fshehtë
RAT përmban një program që kërkon skedarë sipas zgjerimit ose fjalës kyçe dhe i bashkon përputhjet në një skedar ZIP të mbrojtur me fjalëkalim. Ai mund të mbledhë dhe paketojë të dhëna tërësisht në memorie ose të mbështetet në shërbimet e integruara të sistemit, duke minimizuar objektet e mbetura në disk dhe duke e komplikuar zbulimin mjeko-ligjor.
Aftësi për vjedhjen e kredencialeve dhe portofolit
Moduli i vjedhjes së Atroposia mbledh një gamë të gjerë materialesh të ndjeshme: fjalëkalime të ruajtura të shfletuesit, kredenciale nga aplikacionet e biznesit dhe klientët VPN, të dhëna nga programet e mesazheve, të dhëna të menaxherit të fjalëkalimeve kur janë të disponueshme dhe informacione për portofolin e kriptomonedhave. Ai gjithashtu kap përmbajtjen e clipboard-it (çdo gjë që një përdorues kopjon ose pret), regjistron dhe ruan ato hyrje. Madje mund të mbishkruajë përmbajtjen e clipboard-it për të zëvendësuar adresat ose kredencialet e kopjuara të portofolit - një teknikë e dobishme për vjedhjen e fondeve ose rrëmbimin e llogarive.
Manipulimi i rrjetit dhe rrëmbimi i DNS-it
Softueri keqdashës mund të ndryshojë cilësimet e DNS-së ose të ndërpresë kërkimet e emrave në mënyrë që shfletuesi i viktimës të ridrejtohet në heshtje në faqet mashtruese të kontrolluara nga sulmuesit (për shembull, faqet e hyrjes së rreme). Meqenëse shfletuesi mund të shfaqë ende URL-në e pritur, viktimat mund të mashtrohen duke futur kredencialet ndërsa mendojnë se janë në një faqe të ligjshme.
Skanimi i cenueshmërisë dhe mundësitë e përshkallëzimit
Atroposia përfshin një skaner që inspekton hostin e infektuar për patch-e që mungojnë, konfigurime të dobëta dhe softuer të vjetëruar. Në mjediset e ndërmarrjeve, kjo mund të zbulojë objektiva me vlerë të lartë - klientë VPN të papatchuar, gabime në përshkallëzimin e privilegjeve ose ekspozime të tjera - të cilat sulmuesit i shfrytëzojnë më pas për të zgjeruar aksesin në të gjithë rrjetin.
Telemetria e sistemit dhe shërbimet e kontrollit në distancë
Përtej vjedhjes së të dhënave dhe desktopit në distancë, RAT mbledh meta të dhëna të sistemit (adresat IP, versionin e sistemit operativ, vendndodhjen gjeografike dhe detaje të tjera të mjedisit), mund të listojë dhe menaxhojë proceset në ekzekutim dhe mbështet operacionet e mbylljes dhe rinisjes në distancë. Seti i mjeteve përfshin gjithashtu shërbime shtesë me ndikim më të ulët që së bashku ofrojnë fleksibilitet të gjerë operacional.
Si ndodhin zakonisht infeksionet
Dokumente keqdashëse ose të përdorura si armë (për shembull, PDF të infektuara ose bashkëngjitje të tjera të shpërndara me anë të email-it)
Paketa pirateria softuerësh, shfrytëzime nga makina, reklama mashtruese, skema të rreme mbështetjeje teknike, skedarë P2P/të përbashkët, faqe mashtruese shkarkimi, instalues të palëve të treta dhe kanale të ngjashme.
Pse këto metoda shpërndarjeje kanë sukses: sulmuesit mbështeten në inxhinierinë sociale (dokumente të rreme, shkarkime joshëse ose kërkesa për të ekzekutuar skedarë) ose në abuzimin me dobësitë dhe instaluesit mashtrues - shumica e infeksioneve ndodhin kur një përdorues mashtrohet për të ekzekutuar programe keqdashëse.
Përmbledhje e ndikimit
Atroposia mundëson nxjerrjen gjithëpërfshirëse të të dhënave (skedarë, kredenciale, të dhëna nga clipboard, portofolet kripto), kontroll të fshehtë në distancë, ridrejtim të rrjetit përmes ndërhyrjes në DNS dhe zbulim për shfrytëzim të mëtejshëm. Arkitektura e saj e fshehtë (përshkallëzimi i privilegjeve, qëndrueshmëria, paketimi në memorie, C2 i enkriptuar dhe seancat e fshehura në distancë) e bëjnë atë veçanërisht të rrezikshme si për individët ashtu edhe për organizatat.
Përgjigje e menjëhershme
Nëse dyshohet ose zbulohet Atroposia në një sistem, shkëputeni pajisjen nga rrjetet, ruani regjistrat për analizë nëse është e mundur dhe hiqni programin keqdashës sa më shpejt të jetë e mundur. Meqenëse operatorët mund të përdorin kredencialet e mbledhura dhe rrugët anësore, trajtojeni çdo kompromentim si potencialisht të përhapur dhe merrni në konsideratë rrotullimin e fjalëkalimeve, revokimin e tokenëve dhe kryerjen e një hetimi të brendshëm më të gjerë.
