ReverseRat
Araştırmacılar, ReverseRat adlı önceden bilinmeyen bir uzaktan erişim Truva Atı (RAT) kullanan potansiyel olarak zararlı bir saldırı kampanyası tespit etti. Tehdit, AllaKore adlı açık kaynaklı bir RAT ile birlikte, kritik endüstri sektörlerinde faaliyet gösteren dar bir dizi seçilmiş hedefe karşı konuşlandırıldı. Tespit edilen kurbanlardan bazıları yabancı bir devlet kuruluşu, bir enerji nakil şirketi ve bir elektrik üretim ve nakil kuruluşudur. ReverseRat kampanyasında gözlemlenen IoC (Uzlaşma Göstergeleri) ile uyumlu işaretler gösteren kuruluşların neredeyse tamamı Hindistan'da bulunuyor ve az sayıda kurban Afganistan'dan. Saldırılardan sorumlu tehdit aktörüne gelince, ya Pakistan'dan hareket ediyor ya da ülkeyle bağları var gibi görünüyor.
ReverseRat'ın Yetenekleri
ReverseRat, kurbanın dahili ağına başarıyla yerleştirildiğinde, tehdit aktörünün belirli hedeflerine bağlı olarak çok sayıda tehdit edici faaliyet gerçekleştirmesine izin verir. Baştan başlayalım - tehdit, güvenliği ihlal edilmiş aygıtı numaralandırarak ve Windows Yönetim Araçları (WMI) aracılığıyla bu aygıtla ilgili çeşitli verileri toplayarak çalışmasına başlar. Toplanan bilgiler arasında aygıtın MAC adresi, ona bağlı fiziksel bellek ve çok sayıda CPU ayrıntısı bulunur - Maksimum saat hızı, model adı, üretici vb. ReverseRat ayrıca bilgisayar adını, İşletim sistemini ve genel IP adresini .Net çerçevesi.
Toplanan tüm veriler daha sonra kodlanır ve bir Komuta ve Kontrol (C2, C&C) düğümüne gönderilir. ReverseRat daha sonra önceden oluşturulmuş işlevleriyle eşleşen uygun bir komut almayı bekler. Tehdit aktörü, RAT'a sistemdeki dosya yapısını değiştirme talimatı verebilir; belirtilen işlemleri çalıştırın, başlatın veya sonlandırın, panodan veri toplayın, ekran görüntüleri alın ve gizli bir cmd.exe penceresinden rastgele komutlar yürütün. Ancak bu temel işlevsellik seti, ReverseRat'ın indirebileceği ve ihlal edilen sistemde başlatabileceği ek modüllerle genişletilebilir.
RAT'lar son derece tehdit edici kötü amaçlı yazılımlardır ve ReverseRat'ın kurbanlarının mevcut kriterlerine girmeyen kuruluşlar bile gerekli önlemleri almalı ve güvenlik önlemlerini ayarlamalıdır.
