ReverseRat
En potentiellt skadlig attackkampanj som använder en tidigare okänd Trojan (RAT) med namnet ReverseRat har upptäckts av forskare. Hotet, tillsammans med en öppen källkod RAT kallad AllaKore, har utplacerats mot en smal uppsättning utvalda mål som arbetar i kritiska industrisektorer. Några av de identifierade offren inkluderar en utländsk regeringsorganisation, ett kraftöverföringsföretag och en kraftproduktions- och överföringsorganisation. Nästan alla organisationer som visade tecken som överensstämde med IoC (Indicators of Compromise) som observerats i ReverseRat-kampanjen finns i Indien med bara ett litet antal offer som kommer från Afghanistan. När det gäller hotaktören som är ansvarig för attackerna verkar det antingen verka från Pakistan eller ha band till landet.
ReverseRats kapacitet
En gång utplacerad i offrets interna nätverk framgångsrikt, tillåter ReverseRat hotaktören att utföra många hotande aktiviteter, beroende på deras specifika mål. Låt oss börja från början - hotet börjar fungera genom att räkna upp den komprometterade enheten och samla in olika data om den via Windows Management Instrumentation (WMI). Bland den samlade informationen finns enhetens MAC-adress, det fysiska minnet som är anslutet till den och många CPU-detaljer - Max klockhastighet, modellnamn, tillverkare etc. ReverseRat bestämmer också datorns namn, operativsystem och den offentliga IP-adressen via .Net-ramverk.
All skördad data kodas sedan och skickas till en Command-and-Control (C2, C&C) nod. ReverseRat väntar sedan på att få ett lämpligt kommando som matchar dess förbyggda funktioner. Hotaktören kan instruera RAT att ändra filstrukturen på systemet; köra, starta eller döda angivna processer, samla in data från klippbordet, ta skärmdumpar och kör godtyckliga kommandon från ett dolt cmd.exe-fönster. Denna basuppsättning av funktionalitet kan emellertid utökas med ytterligare moduler som ReverseRat kan ladda ner och initiera på det trasiga systemet.
RAT är extremt hotande skadlig kod och även organisationer som inte faller inom de aktuella kriterierna för ReverseRats offer bör vidta nödvändiga försiktighetsåtgärder och justera sina säkerhetsåtgärder.
