Атропосија РАТ
Атропосија је комерцијално трговани тројански вирус за даљински приступ (RAT) који се пласира на подземним форумима. Својим оператерима пружа дубоку, прикривену контролу над угроженим машинама и богат алат за крађу података, манипулисање понашањем мреже и испитивање система у потрази за даљим слабостима. Због својих широких могућности и карактеристика избегавања, свако потврђено присуство Атропозије на уређају захтева тренутно уклањање.
Претња злонамерног софтвера се нуди потенцијалним „купцима“ у три нивоа плаћања:
Месечна закупнина: 200 долара
Квартално: 500 долара (три месеца)
Полугодишње: 900 долара (шест месеци)
Преглед садржаја
Прикривеност, истрајност и командни канал
Атропосија је направљена да остане скривена. Може аутоматски да ескалира привилегије (заобилазећи UAC), користи вишеструке технике перзистентности како би преживела поновна покретања и дизајнирана је да избегне детекцију антивирусом. Њена комуникација са серверима за командовање и контролу оператера је шифрована, а контролна табла у веб стилу поједностављује извршавање злонамерних задатака чак и за умерено веште криминалце.
Скривени даљински управљач и руковање датотекама
Посебна карактеристика је скривена компонента удаљене радне површине (која се продаје као „HRDP Connect“) која отвара невидљиву сесију на рачунару жртве тако да удаљени актер може да интерагује са радном површином без видљивих знакова за корисника. Поред тога, Atroposia укључује менаџер датотека који омогућава нападачима да прегледају дискове и фасцикле, претражују датотеке, преузимају, бришу или извршавају их даљински.
Масовно сакупљање и прикривено паковање
RAT садржи програм за претрагу који претражује датотеке по екстензији или кључној речи и групише подударања у ZIP датотеку заштићену лозинком. Може да састави и пакује податке у потпуности у меморији или да се ослања на уграђене системске услужне програме, минимизирајући преостале артефакте на диску и компликујући форензичко откривање.
Могућности крађе акредитива и новчаника
Атропосијин модул за крађу података прикупља широк спектар осетљивог материјала: сачуване лозинке прегледача, акредитиве из пословних апликација и VPN клијената, податке из програма за размену порука, податке менаџера лозинки где су доступни и информације о криптовалутним новчаницима. Такође снима садржај међуспремника (све што корисник копира или исече), евидентира и чува те уносе. Чак може и да пребрише садржај међуспремника како би заменио копиране адресе новчаника или акредитиве – техника корисна за преузимање средстава или отмицу налога.
Манипулација мрежом и отмица DNS-а
Злонамерни софтвер може да промени подешавања DNS-а или на други начин пресретне претраге имена тако да се прегледач жртве неприметно преусмери на преварантске сајтове које контролише нападач (на пример, лажне странице за пријаву). Пошто прегледач и даље може да приказује очекивани URL, жртве могу бити преварене да унесу акредитиве док мисле да су на легитимном сајту.
Скенирање рањивости и могућности ескалације
Атропосија укључује скенер који прегледа заражени хост у потрази за недостајућим закрпама, слабим конфигурацијама и застарелим софтвером. У пословним окружењима, ово може открити вредне мете — неисправљене VPN клијенте, грешке у ескалацији привилегија или друге изложености — које нападачи затим искоришћавају да би проширили приступ преко мреже.
Услужни програми за системску телеметрију и даљинско управљање
Поред крађе података и удаљеног управљања радном површином, RAT прикупља системске метаподатке (IP адресе, верзију оперативног система, геолокацију и друге детаље о окружењу), може да наводи и управља покренутим процесима и подржава операције даљинског искључивања и поновног покретања. Комплет алата такође укључује додатне услужне програме са мањим утицајем који заједно пружају широку оперативну флексибилност.
Како се инфекције обично јављају
Злонамерни или документи који садрже хакерске супстанце (на пример, заражени PDF-ови или други прилози дистрибуирани путем е-поште)
Пакети за пиратство софтвера, експлоати који се не користе помоћу програма „drive-by“, лажне рекламе, лажне шеме техничке подршке, P2P/дељене датотеке, обмањујуће веб странице за преузимање, инсталатери трећих страна и слични канали
Зашто су те методе испоруке успешне: нападачи се ослањају на друштвени инжењеринг (лажни документи, примамљива преузимања или захтеви за покретање датотека) или на злоупотребу рањивости и обмањујућих инсталера — већина инфекција се дешава када је корисник преварен да покрене злонамерни софтвер.
Резиме утицаја
Атропосија омогућава свеобухватно крађу података (датотеке, акредитиви, подаци из међуспремника, крипто новчаници), прикривено даљинско управљање, преусмеравање мреже путем манипулације ДНС-ом и извиђање ради даље експлоатације. Њена прикривена архитектура (ескалација привилегија, перзистентност, паковање у меморији, шифровани C2 и скривене удаљене сесије) чини је посебно опасном за појединце и организације.
Тренутни одговор
Ако се сумња на Атропозију или се она открије на систему, искључите уређај са мрежа, сачувајте логове за анализу ако је могуће и уклоните злонамерни софтвер што је пре могуће. Пошто оператери могу да користе прикупљене акредитиве и бочне руте, третирајте свако компромитовање као потенцијално широко распрострањено и размотрите ротирање лозинки, опозивање токена и спровођење шире интерне истраге.
