PowerShell RAT

Natukoy ng mga mananaliksik sa cybersecurity ang isang bagong RAT (Remote Access Threat) na ginamit ng mga cybercriminal laban sa mga target sa Germany. Ang Trojan ay sinusubaybayan bilang ang PowerShell RAT, at ito ay ini-deploy sa pamamagitan ng mga tiwaling website gamit ang digmaan sa Ukraine bilang pang-akit.

Ang PowerShell RAT ay nilagyan ng karaniwang functionality na inaasahan ng mga banta ng ganitong uri. Kapag na-deploy na sa mga naka-target na system, magsisimula itong mangolekta ng nauugnay na data ng device. Gaya ng ipinahihiwatig ng pangalan nito, ang mga pangunahing pag-andar ng banta ay umiikot sa pagsasagawa ng mga command ng script ng PowerShell. Bilang karagdagan, ang mga banta ng aktor ay maaaring mag-exfiltrate ng mga napiling file mula sa nilabag na sistema o mag-deploy ng mga karagdagang payload dito. Nagbibigay-daan ito sa mga umaatake na palawakin ang kanilang mga kakayahan sa loob ng system, depende sa kanilang mga layunin. Maaari silang mag-download at magsagawa ng mga karagdagang Trojan, banta sa ransomware, crypto-miners, atbp.

Ang website ng pang-akit na kumakalat ng PowerShell RAT ay idinisenyo upang malapit na maging katulad ng website ng estado ng Baden-Württemberg German. Gumamit pa ang mga banta ng aktor ng domain - collaboration-bw(dot)de, na dati nang nauugnay sa opisyal na site. Sa pekeng pahina, ang mga gumagamit ay bibigyan ng tumpak na impormasyon tungkol sa mga kaganapan tungkol sa digmaan sa Ukraine. Susubukan ng site na kumbinsihin ang mga bisita nito na mag-download ng file na pinangalanang '2022-Q2-Bedrohungslage-Ukraine.chm.txt.' Sa sandaling mabuksan, magpapakita ang file ng isang pekeng mensahe ng error tungkol sa isang dapat na isyu, habang ang isang nakompromisong script ay isasagawa sa background nang tahimik. Pasisimulan ng script ang chain ng impeksyon ng PowerShell RAT.