FlawedGrace RAT

FlawedGrace är namnet på en fullfjädrad RAT (Remote Access Threat) som är en del av den hotfulla arsenalen för det ekonomiskt motiverade gänget med it- brottslingar som spåras som TA505 (eller Hive0065). Gruppen har varit aktiv sedan minst 2014 och är bland de mest produktiva med flera attackkampanjer som tillskrivs den. En annan särskiljande egenskap hos TA505 är dess benägenhet att genomföra frekventa ändringar av både deras TTP (taktik, tekniker och procedurer), samt hot mot hot mot skadlig kod. Gruppen har observerats genomföra massiva spam -kampanjer via e -post som levererar Dridex -banktrojanen , innan de gick vidare till distributionen av Locky och Jaff Ransomware -hot, TrickBot -banktrojanen och mer.

FlawedGrace -detaljer

Första gången som FlawedGrace RAT upptäcktes av infosec -forskare var i november 2017. Det är en kraftfull RAT skriven på programmeringsspråket C ++. Den kan känna igen flera inkommande kommandon från en Command-and-Control-server som skickas via ett anpassat binärt protokoll med port 443. Hotet kan instrueras att hämta ytterligare skadade moduler och sedan ladda och köra dem. Det kan också ladda ner och exfiltrera utvalda filer, samla in känslig användarinformation, till exempel lösenord och mer.

I de senaste attackoperationerna som utfördes av TA505 distribuerades en uppdaterad version av FlawedGrace RAT. Medan den fullständiga analysen av förändringarna fortfarande pågår, har forskarna hittills observerat att hotet nu använder krypterade strängar och fördunklade API -samtal. En annan skillnad hittades i hur hotet lagrade sin konfiguration. Den ursprungliga eller standardkonfigurationen lagras på systemet som en krypterad resurs. Därefter delas den i två - en nuvarande konfigurationsinstans placerad i ett mappat minnesområde och en persistensmekanism injicerad i systemets register.