Lime RAT

LimeRAT, yine de tehdit aktörlerine çok sayıda kötü işlev sunan basit bir Uzaktan Erişim Truva Atıdır. Tehdit, Windows sistemlerini etkilemek için tasarlanmıştır ve bilgisayar korsanlarının ihtiyaçlarına göre hareket etmek üzere ayarlanabilen modüler bir bileşime sahiptir. Güvenliği ihlal edilen makinede bir arka kapı oluşturabilir ve rastgele komutlar yürütebilir. Talimat verilirse, LimeRAT, kripto madenci yüklerini dağıtabilir veya hedeflenen dosya türlerini fidye yazılımı tehditlerine benzer bir şekilde kilitleyecek bir şifreleme rutini başlatabilir. Ayrıca, başarılı bir şekilde sızan tüm sistemler botnet'lere eklenebilir.

Bu yeterli değilse, LimeRAT ayrıca özel verileri ve dosyaları toplayan ve bunları Komut ve Kontrol (C2, C&C) sunucusuna sızdıran bir ekran dolabı veya veri toplayıcı görevi görebilir. Yüklenen tüm bilgiler ilk olarak AES şifreleme algoritması kullanılarak şifrelenecektir. Kötü amaçlı yazılım tehdidi, virüs bulaşmış sisteme bağlı USB sürücülerini de algılayabilir ve bunları kendini daha da yaymak için kullanabilir.

LimeRAT'ın emrinde birden fazla algılama-önleme ve sanallaştırma önleme tekniği vardır. Bir sanal makinede (VM) çalıştırılma belirtilerini tarayabilir ve gerekirse kendini kaldırabilir.

Eski Excel Şifreleme Tekniğiyle Bulaşma

LimeRAT, yakın zamanda tespit edilen bir saldırı kampanyasında salt okunur Excel belgeleri olarak yayılıyor. Truva Atı'na dönüştürülmüş belgeler, seçilen hedef grubu hedefleyen kimlik avı e-postalarına eklenir. Kilitli değil, salt okunur belgeleri kullanma kararı kasıtlıdır. Salt okunur dosyalar, açılacak bir parola gerektirmez ve ayrıca eski bir Excel yararlanma tekniğinde kullanılabilir. Böyle bir dosya yürütüldüğünde, Excel gömülü, varsayılan bir parola olan 'VelvetSweatshop' ile şifresini çözmeye çalışır ve aynı zamanda yerleşik makroları etkinleştirir ve bozuk yükün saldırı zincirini başlatmasına izin verir. Bu tekniğin kullanımı 2013 yılına kadar uzanmaktadır ve açıklardan yararlanma CVE-2012-0158 olarak atanmıştır. Sorun uzun zaman önce ele alınmış olsa da, siber suçlular yeni kurbanlara bulaştırmak için bir kez daha konuya dönüyor gibi görünüyor.