PY#RATION DAGA
Ang isang bagong kampanya sa pag-atake ay nahuli sa ligaw. Ang nagbabantang operasyon ay gumagamit ng isang nobelang Python-based na malware na tinatawag na PY#RATION RAT. Tulad ng karaniwang nangyayari sa mga Remote Access Trojan (RAT), ang PY#RATION ay may komprehensibong hanay ng mga mapaminsalang kakayahan, kabilang ang data exfiltration at keylogging. Ang dahilan kung bakit partikular na natatangi ang banta na ito ay ang paggamit nito ng WebSockets para sa parehong Command-and-Control (C2, C&C) na komunikasyon at exfiltration, pati na rin ang kakayahang iwasan ang pagtuklas mula sa mga solusyon sa anti-malware at mga hakbang sa seguridad ng network.
Ang mga detalye tungkol sa PY#RATION RAT ay inihayag sa isang ulat ng mga mananaliksik sa cybersecurity. Ayon sa kanilang mga natuklasan, ang mga cybercriminal sa likod ng banta ay nakatuon sa karamihan sa mga target sa UK o North America, batay sa mga phishing lures na ginamit bilang bahagi ng pag-atake.
Ang Attack Chain ng PY#RATION
Nagsisimula ang pag-atake sa isang mapanlinlang na phishing email na naglalaman ng ZIP archive. Sa loob ng archive ay may dalawang shortcut (.LNK) na file, na nagpapanggap bilang mga larawan sa harap at likod ng isang diumano'y tunay na lisensya sa pagmamaneho ng UK. Sa pagbukas ng bawat isa sa mga .LNK file na ito, dalawang text file ang kinukuha mula sa isang malayong server at pagkatapos ay ise-save bilang .BAT file.
Habang ipinapakita sa biktima ang mga decoy na imahe, ang mga mapaminsalang file ay tahimik na isinasagawa sa background ng system. Bukod pa rito, isa pang batch script ang dina-download mula sa C2 server na kumukuha ng iba pang mga payload, kabilang ang isang binary na Python na pinangalanang 'CortanaAssistance.exe.' Ang paggamit ng Cortana, ang virtual assistant ng Microsoft, ay nagpapahiwatig na maaaring sinubukan ng mga umaatake na itago ang kanilang sirang code bilang isang lehitimong file ng system.
Mga Masakit na Kakayahan ni PY#RATION RAT
Dalawang bersyon ng PY#RATION Trojan ang nakita (bersyon 1.0 at 1.6). Kasama sa mas bagong bersyon ang halos 1,000 linya ng karagdagang code, na nagdaragdag ng mga feature sa pag-scan ng network upang suriin ang mga nakompromisong network at isang layer ng encryption sa Python code gamit ang fernet module. Bilang karagdagan, ang banta ay maaaring maglipat ng mga file mula sa nilabag na host sa C2 server nito at sa kabilang banda.
Ang RAT ay maaaring magsimulang mag-record ng mga keystroke, magsagawa ng mga command ng system, mag-extract ng mga password at cookies mula sa mga Web browser, kumuha ng data ng clipboard at makita ang pagkakaroon ng software ng seguridad. Maaaring gamitin ng mga banta ng aktor ang PY#RATION bilang gateway para sa pag-deploy ng mga payload ng iba pang mga banta, gaya ng isa pang Python-based na info-stealer na tahasang ginawa para mag-harvest ng data mula sa mga Web browser at cryptocurrency wallet.
