FlawedGrace RAT

FlawedGrace, TA505 (veya Hive0065) olarak izlenen finansal olarak motive edilmiş siber suçlular çetesinin tehditkar cephaneliğinin bir parçası olan tam teşekküllü bir RAT'ın (Uzaktan Erişim Tehdidi) adıdır. Grup, en az 2014'ten beri aktiftir ve kendisine atfedilen birden fazla saldırı kampanyasıyla en üretken gruplar arasındadır. TA505'in bir diğer ayırt edici özelliği, hem TTP'lerinde (Taktikler, Teknikler ve Prosedürler) hem de kötü amaçlı yazılım tehdit türlerinde sık sık değişiklik yapma eğilimidir. Grubun, Locky ve Jaff Ransomware tehditlerini, TrickBot bankacılık Truva atını ve daha fazlasını dağıtmaya geçmeden önce, Dridex bankacılık Truva Atı dağıtan büyük e-posta spam kampanyaları yürüttüğü gözlemlendi.

FlawedGrace Ayrıntıları

FlawedGrace RAT, infosec araştırmacıları tarafından ilk kez Kasım 2017'de tespit edildi. C++ programlama dilinde yazılmış güçlü bir RAT'dir. Özel bir ikili protokol aracılığıyla 443 numaralı bağlantı noktası kullanılarak gönderilen bir Komuta ve Kontrol sunucusundan gelen birden çok komutu tanıma yeteneğine sahiptir. Tehdide ek bozuk modülleri getirmesi ve ardından bunları yüklemesi ve yürütmesi talimatı verilebilir. Ayrıca seçilen dosyaları indirebilir ve sızdırabilir, şifreler ve daha fazlası gibi hassas kullanıcı bilgilerini toplayabilir.

TA505 tarafından gerçekleştirilen en son saldırı operasyonlarında FlawedGrace RAT'ın güncellenmiş bir versiyonu konuşlandırıldı. Değişikliklerin tam analizi hala devam ederken, araştırmacılar şu ana kadar tehdidin artık şifreli dizeler ve gizlenmiş API çağrıları kullandığını gözlemlediler. Tehdidin yapılandırmasını saklama biçiminde başka bir fark bulundu. İlk veya varsayılan yapılandırma, sistemde şifreli bir kaynak olarak depolanır. Daha sonra, ikiye bölünür - eşlenmiş bir bellek bölgesine yerleştirilen mevcut bir yapılandırma örneği ve sistemin Kayıt Defterine enjekte edilen bir kalıcılık mekanizması.