Lime RAT

Lime RAT Beskrivning

LimeRAT är en enkel Trojan för fjärråtkomst som ändå levererar en stor uppsättning onödiga funktioner till hotaktörer. Hotet är utformat för att infektera Windows-system och har en modulär sammansättning som kan justeras för att agera enligt hackarnas behov. Det kan skapa en bakdörr på den komprometterade maskinen och utföra godtyckliga kommandon. Om du får instruktioner, kan LimeRAT distribuera krypto-miner-nyttolast eller initiera en krypteringsrutin som låser de riktade filtyperna på ett sätt som liknar ransomware-hot. Dessutom kan alla framgångsrikt infiltrerade system läggas till i botnät.

Om detta inte räckte kan LimeRAT också fungera som ett skärmskåp eller en datainsamlare som skördar privata data och filer och exfiltrerar dem till sin Command-and-Control (C2, C&C) -server. All uppladdad information krypteras först med AES kryptografiska algoritm. Skadlig hot kan också upptäcka USB-enheter som är anslutna till det infekterade systemet och använda dem för att sprida sig ytterligare.

LimeRAT har flera detekterings-undvikande och antivirtualiseringstekniker till sitt förfogande. Det kan söka efter tecken på att köras i en virtuell maskin (VM) och avinstallera sig själv om det behövs.

Infektion via en gammal Excel-krypteringsteknik

LimeRAT sprids som skrivskyddade Excel-dokument i en nyligen upptäckt attackkampanj. De trojaniserade dokumenten bifogas phishing-e-postmeddelanden riktade till den valda målgruppen. Beslutet att använda skrivskyddade dokument och inte låsta är medvetet. Skrivskyddade filer kräver inte att ett lösenord ska öppnas och kan också användas i en gammal Excel-exploateringsteknik. När en sådan fil körs kommer Excel att försöka dekryptera den med ett inbäddat standardlösenord - 'VelvetSweatshop', samtidigt som det möjliggör inbyggda makron och låter den skadade nyttolasten initiera sin attackkedja. Användningen av denna teknik går tillbaka till 2013 och utnyttjandet har tilldelats CVE-2012-0158-beteckningen. Även om frågan har tagits upp för länge sedan verkar det som om cyberbrottslingar åter återvänder till det i ett försök att infektera nya offer.