CetaRAT
CetaRAT, C# programlama dili kullanılarak yazılmış bir Uzaktan Erişim Truva Atı (RAT) tehdididir. Ana işlevi, güvenliği ihlal edilen makinelerden hassas verileri topladığı ve ardından sızdırdığı casusluk faaliyetleri yürütmektir. Tehdit ilk olarak, Hindistan savunma güçlerini ve silahlı kuvvetler personelini hedef alan bir saldırı kampanyası olan ve halen devam etmekte olan SideCopy Operasyonunda konuşlandırıldığında bilgi güvenliği topluluğu tarafından fark edildi. O zamandan beri CetaRAT erişimini genişletiyor ve Hindistan devlet kurumlarına yönelik ek saldırılarda kullanılıyor.
Saldırı Zinciri
CetaRAT'ın enfeksiyon zinciri, silahlı bir eklenti taşıyan hedef odaklı kimlik avı e-postalarının dağıtımıyla başlar. Bozuk ekler, uzak bir URL'den bir HTA dosyası alan bir ZIP arşivi biçimini alabilir. HTA dosyasını yürütmek, CetaRAT'ın tehdidini kurbanın makinesine iletir. Şimdiye kadar iki farklı yöntem gözlemlendi.
İlkinde, HTA dosyası başlatıldıktan sonra, 'C:\ProgramData' konumuna yerleştirilmiş bir JavaScript dosyası oluşturmaya ve yürütmeye devam eder. Komut dosyası, CetaRAT yükünün sistemin Başlangıç konumuna düştüğü gerçeğinden dikkatlerini dağıtmak için şüphelenmeyen kurbana bir tuzak belge göstermekten sorumludur. Sahte belgeler genellikle bölge ve özellikle Hindistan ile ilgili bir konu hakkında bilgi taşır.
İkinci yöntem, güvenliği ihlal edilmiş aygıtın C sürücüsündeki rastgele adlandırılmış bir klasöre bırakılan toplu iş dosyalarının oluşturulmasını ve yürütülmesini görür. Sonraki adım, HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'da CetaRAT'ın yükünü işaret eden bir Kayıt Defteri girişi eklemektir. Bu durumda, tehdidin yürütülebilir dosyası '%AppData/Roaming%' klasöründe bulunur.
Toplanan veri
CetaRAT ana işlevselliğini etkinleştirmeden önce tehdit, çalışan tüm AV çözümleri için bir tarama gerçekleştirir ve elde edilen ayrıntıları Komuta-Kontrol (C2, C&C) sunucusuna gönderir. Bundan sonra bilgisayar adı, IP adresi, bellek ayrıntıları, işlemci bilgileri, işletim sistemi verileri ve daha fazlası dahil olmak üzere çeşitli sistem ayrıntılarını toplamaya başlar.
Güvenliği ihlal edilmiş cihazla ilgili ilk bilgiler iletildiğinde, CetaRAT ek komutları bekleyecektir. Tehdit aktörü, RAT'a ek yükler getirmesi ve bunları yürütmesi, kurbanın dosya sistemini manipüle etmesi, keyfi ekran görüntüleri alması, keyfi komutlar yürütmesi ve diğer müdahaleci eylemleri yürütmesi talimatını verebilir. Toplanan tüm veriler, C2 sunucusuna iletilmeden önce RC4 algoritması ile şifrelenir.
