TSCookieRAT

TSCookieRAT är ett hot om fjärråtkomst som utnyttjades mot japanska mål av hackargruppen som bär beteckningen BlackTech. Den hotande åtgärden använde bete-e-postmeddelanden för att lura de riktade användarna att klicka på en URL som leder till hotet. Det bör noteras att TSCookieRAT också spårades under PLEAD-namnet initialt men senare analys har visat vissa skillnader mellan de två.

De lockande e-postmeddelanden som användes i kampanjen påstods komma från Japans ministerium för utbildning, kultur, sport, vetenskap och teknik. URL-adressen i e-postmeddelandena laddar ner en krypterad DLL-fil som innehåller laddarkomponenten i TSCookieRAT. DLL-filen laddas sedan och körs i minnet. De skadliga funktionerna i hotet utvidgas sedan i de senare stadierna av attacken genom att hämta och köra ytterligare moduler från Command-and-Control (C2, C&C) -servern i kampanjen. Alla komponenter i sent skede körs också i minnet.

När TSCookieRAT är redo att börja sin hotande operation skickar den en HTTP GET-begäran till C&C och väntar sedan på inkommande kommandon. Hotet gör det möjligt för spelaren att skapa en betydande nivå av kontroll över det infekterade systemet. Hackarna kan utföra godtyckliga skalkommandon, exfiltrera data inklusive enhets- och systeminformation, manipulera filsystemet och skörda känslig information, till exempel lösenord från de mest populära webbläsarna - Chrome, Firefox, Edge, Internet Explorer och Outlook-e-postklienten. Resultat som samlats in som svar på de mottagna kommandona laddas sedan upp i samma format som den första HTTP POST-begäran.

BlackTech-attackkampanjerna mot japanska mål kan fortsätta och kan innebära olika hot mot skadlig programvara, så organisationer bör hålla sin cybersäkerhet på en tillfredsställande nivå och implementera eventuella programvarusäkerhetsuppdateringar i god tid.