MysterySnail RAT

MysterySnail RAT är ett hot som enligt resultaten från infosec -forskare är kopplat till den kinesiska APT -gruppen (Advanced Persistent Threat) IronHusky. Hotet beskrivs som en fjärrskalig trojan och är ovanligt stor på 8,29 MB. Det finns flera orsaker till den onormala storleken. Först sammanställs MysterySnail RAT statiskt med OpenSSL -biblioteket och har oanvänd kod från det biblioteket. För det andra innehåller den två stora funktioner som inte har något praktiskt syfte förutom att slösa med processorns klockcykler.

Den troliga orsaken till införandet av de stora bitarna av överflödig kod är att öka hotets anti-upptäckt och anti-emulering. Denna slutsats stöds också av införandet av olika redundanta logiker, liksom flera exporterade funktioner medan bara en utför de faktiska uppgifterna.

MysterySnail RAT: s detaljer

Som helhet är MysterySnail RAT inte bland de mest sofistikerade hoten av denna typ.Det kompenserar dock med en utökad lista med funktioner (hotet kan känna igen totalt 20 olika kommandon) som att upptäcka eventuella isatta hårddiskar eller kunna fungera som en proxy. Vid mottagande av lämpligt kommando från dess Command-and-Control (C&C, C2) -server kan hotet manipulera filsystemet i det komprometterade systemet genom att skapa, läsa, ladda upp eller ta bort de valda filerna. MysterySnail RAT kan också starta eller avsluta processer. Dessutom kan den öppna ett kommandotolksfönster så att angriparna kan utföra godtyckliga kommandon.

En av de första åtgärderna som utförs av MysterySnail RAT är att samla in data om det kränkta systemet. Skadlig programvara skördar detaljer, till exempel datornamn, Windows -produktnamn, IP -adress, användarnamn och mer. All insamlad information laddas sedan upp till C2 -servern. När det gäller serverns adress hade de analyserade hotproven två hårdkodade URL: er lagrade i vanlig text som fungerade som lockbete. Den verkliga URL: en avkodas av en enda byte xor som levererar adressen "http [.] Ddspadus [.] Com".