Atroposia RAT

Atroposia เป็นโทรจันเข้าถึงระยะไกล (RAT) ที่ซื้อขายในเชิงพาณิชย์ ซึ่งทำการตลาดผ่านฟอรัมใต้ดิน Atroposia ช่วยให้ผู้ปฏิบัติงานสามารถควบคุมเครื่องที่ถูกบุกรุกได้อย่างลึกซึ้งและแนบเนียน พร้อมทั้งมีชุดเครื่องมือที่ครบครันสำหรับการขโมยข้อมูล จัดการพฤติกรรมเครือข่าย และตรวจสอบจุดอ่อนเพิ่มเติมในระบบ ด้วยความสามารถและคุณสมบัติการหลบเลี่ยงที่หลากหลายของ Atroposia การยืนยันการมีอยู่ของ Atroposia บนอุปกรณ์ใดๆ จำเป็นต้องกำจัดออกทันที

ภัยคุกคามจากมัลแวร์กำลังถูกนำเสนอให้กับ "ลูกค้า" ที่มีศักยภาพในการชำระเงิน 3 ระดับ:

ค่าเช่ารายเดือน: $200

รายไตรมาส: 500 เหรียญสหรัฐ (สามเดือน)

รายครึ่งปี: 900 เหรียญสหรัฐ (หกเดือน)

การแอบซ่อน ความคงอยู่ และช่องทางการสั่งการ

Atroposia ถูกสร้างขึ้นมาเพื่อซ่อนตัว มันสามารถยกระดับสิทธิ์โดยอัตโนมัติ (ข้าม UAC) ใช้เทคนิคการคงอยู่หลายแบบเพื่อให้รอดพ้นจากการรีบูต และออกแบบมาเพื่อหลบเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัส การสื่อสารกับเซิร์ฟเวอร์ควบคุมและสั่งการของผู้ปฏิบัติการถูกเข้ารหัส และแผงควบคุมแบบเว็บช่วยลดความยุ่งยากในการดำเนินการที่เป็นอันตราย แม้แต่อาชญากรที่มีทักษะปานกลาง

การควบคุมระยะไกลที่ซ่อนอยู่และการจัดการไฟล์

ฟีเจอร์ลายเซ็นคือส่วนประกอบเดสก์ท็อประยะไกลที่ซ่อนอยู่ (วางตลาดในชื่อ 'HRDP Connect') ซึ่งเปิดเซสชันที่มองไม่เห็นบนเครื่องของเหยื่อ เพื่อให้ผู้โจมตีจากระยะไกลสามารถโต้ตอบกับเดสก์ท็อปได้โดยที่ผู้ใช้ไม่เห็นร่องรอยใดๆ นอกจากนี้ Atroposia ยังมีตัวจัดการไฟล์ที่ช่วยให้ผู้โจมตีสามารถเรียกดูไดรฟ์และโฟลเดอร์ ค้นหาไฟล์ ดาวน์โหลด ลบ หรือเรียกใช้งานไฟล์เหล่านั้นจากระยะไกลได้

การรวบรวมจำนวนมากและบรรจุภัณฑ์ที่ซ่อนเร้น

RAT ประกอบด้วยตัวจับไฟล์ที่ค้นหาไฟล์ตามนามสกุลหรือคำสำคัญ และรวมไฟล์ที่ตรงกันไว้ในไฟล์ ZIP ที่ป้องกันด้วยรหัสผ่าน RAT สามารถรวบรวมและจัดแพ็กเกจข้อมูลทั้งหมดไว้ในหน่วยความจำ หรืออาศัยยูทิลิตี้ระบบในตัว ช่วยลดสิ่งแปลกปลอมที่หลงเหลืออยู่บนดิสก์ และทำให้การตรวจจับทางนิติวิทยาศาสตร์มีความซับซ้อนมากขึ้น

ความสามารถในการขโมยข้อมูลประจำตัวและกระเป๋าสตางค์

โมดูลขโมยข้อมูลของ Atroposia รวบรวมข้อมูลสำคัญหลากหลายประเภท ได้แก่ รหัสผ่านเบราว์เซอร์ที่บันทึกไว้ ข้อมูลรับรองจากแอปพลิเคชันธุรกิจและไคลเอนต์ VPN ข้อมูลจากโปรแกรมส่งข้อความ ข้อมูลตัวจัดการรหัสผ่าน (ถ้ามี) และข้อมูลกระเป๋าเงินคริปโตเคอร์เรนซี นอกจากนี้ยังบันทึกเนื้อหาในคลิปบอร์ด (ทุกสิ่งที่ผู้ใช้คัดลอกหรือตัด) บันทึก และจัดเก็บรายการเหล่านั้น และสามารถเขียนทับเนื้อหาในคลิปบอร์ดเพื่อแทนที่ที่อยู่หรือข้อมูลรับรองของกระเป๋าเงินที่คัดลอกมา ซึ่งเป็นเทคนิคที่มีประโยชน์สำหรับการยักยอกเงินหรือขโมยบัญชี

การจัดการเครือข่ายและการแฮ็ก DNS

มัลแวร์สามารถเปลี่ยนการตั้งค่า DNS หรือสกัดกั้นการค้นหาชื่อ เพื่อให้เบราว์เซอร์ของเหยื่อถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ปลอมที่ผู้โจมตีควบคุมอย่างเงียบๆ (เช่น หน้าล็อกอินปลอม) เนื่องจากเบราว์เซอร์อาจยังคงแสดง URL ตามที่คาดไว้ เหยื่อจึงอาจถูกหลอกให้ป้อนข้อมูลประจำตัวในขณะที่คิดว่าตนเองกำลังใช้งานเว็บไซต์ที่ถูกต้องตามกฎหมาย

โอกาสในการสแกนและยกระดับช่องโหว่

Atroposia มีเครื่องสแกนที่ตรวจสอบโฮสต์ที่ติดไวรัสเพื่อหาแพตช์ที่หายไป การกำหนดค่าที่อ่อนแอ และซอฟต์แวร์ที่ล้าสมัย ในสภาพแวดล้อมองค์กร การสแกนนี้สามารถเปิดเผยเป้าหมายที่มีมูลค่าสูง เช่น ไคลเอ็นต์ VPN ที่ไม่ได้รับการแก้ไข บั๊กการยกระดับสิทธิ์ หรือช่องโหว่อื่นๆ ซึ่งผู้โจมตีสามารถใช้ประโยชน์เพื่อขยายการเข้าถึงทั่วทั้งเครือข่าย

ระบบโทรมาตรและยูทิลิตี้ควบคุมระยะไกล

นอกเหนือจากการขโมยข้อมูลและการใช้งานเดสก์ท็อประยะไกลแล้ว RAT ยังรวบรวมข้อมูลเมตาของระบบ (ที่อยู่ IP เวอร์ชันระบบปฏิบัติการ ตำแหน่งทางภูมิศาสตร์ และรายละเอียดสภาพแวดล้อมอื่นๆ) สามารถแสดงรายการและจัดการกระบวนการที่กำลังทำงานอยู่ และรองรับการปิดระบบและรีบูตระบบจากระยะไกล ชุดเครื่องมือนี้ยังประกอบด้วยยูทิลิตี้เพิ่มเติมที่ส่งผลกระทบน้อยกว่า ซึ่งรวมกันแล้วมอบความยืดหยุ่นในการปฏิบัติงานที่หลากหลาย

การติดเชื้อโดยทั่วไปเกิดขึ้นได้อย่างไร

เอกสารที่เป็นอันตรายหรือเป็นอาวุธ (เช่น PDF ที่ติดไวรัสหรือไฟล์แนบอื่น ๆ ที่เผยแพร่ทางอีเมล)

แพ็คเกจละเมิดลิขสิทธิ์ซอฟต์แวร์ ช่องโหว่แบบไดรฟ์บาย โฆษณาปลอม แผนการสนับสนุนทางเทคนิคปลอม ไฟล์ P2P/แชร์ เว็บไซต์ดาวน์โหลดที่หลอกลวง โปรแกรมติดตั้งของบุคคลที่สาม และช่องทางที่คล้ายคลึงกัน

เหตุใดวิธีการส่งมอบเหล่านั้นจึงประสบความสำเร็จ: ผู้โจมตีอาศัยกลวิธีทางสังคม (เอกสารปลอม การดาวน์โหลดที่น่าดึงดูดใจ หรือคำขอให้เรียกใช้ไฟล์) หรือการใช้ช่องโหว่และโปรแกรมติดตั้งที่หลอกลวง — การติดไวรัสส่วนใหญ่มักเกิดขึ้นเมื่อผู้ใช้ถูกหลอกให้รันมัลแวร์

สรุปผลกระทบ

Atroposia ช่วยให้สามารถขโมยข้อมูลได้อย่างครอบคลุม (ไฟล์ ข้อมูลประจำตัว ข้อมูลคลิปบอร์ด กระเป๋าเงินคริปโต) การควบคุมระยะไกลแบบซ่อนเร้น การเปลี่ยนเส้นทางเครือข่ายผ่าน DNS tampering และการสอดแนมเพื่อใช้ประโยชน์เพิ่มเติม สถาปัตยกรรมที่ซ่อนเร้น (การยกระดับสิทธิ์, การคงอยู่, การจัดแพ็กเกจในหน่วยความจำ, C2 ที่เข้ารหัส และเซสชันระยะไกลที่ซ่อนอยู่) ทำให้ Atroposia เป็นอันตรายอย่างยิ่งสำหรับทั้งบุคคลและองค์กร

ตอบสนองทันที

หากสงสัยหรือตรวจพบ Atroposia ในระบบ ให้ตัดการเชื่อมต่ออุปกรณ์จากเครือข่าย เก็บบันทึกเพื่อการวิเคราะห์หากเป็นไปได้ และกำจัดมัลแวร์โดยเร็วที่สุด เนื่องจากผู้ปฏิบัติงานสามารถใช้ข้อมูลประจำตัวที่เก็บรวบรวมและเส้นทางด้านข้างได้ จึงควรพิจารณาว่าการบุกรุกใดๆ ที่อาจเกิดขึ้นในวงกว้าง และพิจารณาการหมุนเวียนรหัสผ่าน การเพิกถอนโทเค็น และดำเนินการตรวจสอบภายในที่ครอบคลุมยิ่งขึ้น