Licenser för flera enheter (volymrabatter)
Threat Database Remote Administration Tools CetaRAT

CetaRAT

Med Mezo år Remote Administration Tools
Översätt till:
Svenska

CetaRAT är ett RAT-hot (Remote Access Trojan) skrivet med programmeringsspråket C#. Dess huvudsakliga funktion är att utföra spionageaktiviteter där den skördar och sedan exfiltrerar känslig data från de komprometterade maskinerna. Hotet uppmärksammades först av infosec-gemenskapen när det sattes in i den fortfarande pågående Operation SideCopy, en attackkampanj riktad mot indiska försvarsstyrkor och väpnade styrkor. Sedan dess har CetaRAT utökat sin räckvidd och utnyttjats i ytterligare attacker mot indiska statliga myndigheter.

Attackkedja

CetaRATs infektionskedja börjar med distributionen av e-postmeddelanden med spjutfiske som bär en vapenad bilaga. De skadade bilagorna kan ha formen av ett ZIP-arkiv som hämtar en HTA-fil från en fjärr-URL. Genom att köra HTA-filen skickas CetaRAT:s hot till offrets dator. Hittills har två olika metoder observerats.

I den första, efter att HTA-filen har initierats, fortsätter den att skapa och köra en JavaScript-fil placerad på 'C:\ProgramData'-platsen. Skriptet är ansvarigt för att visa ett lockbetedokument för det intet ont anande offret för att distrahera dem från det faktum att CetaRAT-nyttolasten släpps vid systemets startplats. Lockdokumenten innehåller vanligtvis information om ett relevant ämne som rör regionen och Indien i synnerhet.

Den andra metoden ser att skapande och körning av batchfiler släpps i en slumpmässigt namngiven mapp på C-enheten på den komprometterade enheten. Nästa steg är att lägga till en registerpost på HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run som pekar på CetaRATs nyttolast. I det här fallet finns hotets körbara fil i mappen '%AppData/Roaming%'.

Insamlade data

Innan CetaRAT aktiverar sin huvudfunktion, utför hotet en skanning för alla körande AV-lösningar och skickar den inhämtade informationen till sin Command-an-Control-server (C2, C&C). Efter det börjar den samla in olika systemdetaljer, inklusive datornamn, IP-adress, minnesdetaljer, processorinformation, OS-data och mer.

När den första informationen om den komprometterade enheten har sänts, väntar CetaRAT på ytterligare kommandon. Hotaktören kan instruera RAT att hämta ytterligare nyttolaster och exekvera dem, manipulera offrets filsystem, ta godtyckliga skärmdumpar, utföra godtyckliga kommandon och andra påträngande åtgärder. All insamlad data krypteras med RC4-algoritmen innan den överförs till C2-servern.

Trendigt

Mest sedda

Läser in...