Атропозія ЩУР
Atroposia — це комерційно продаваний троян віддаленого доступу (RAT), який продається на підпільних форумах. Він надає своїм операторам глибокий, прихований контроль над скомпрометованими машинами та багатий набір інструментів для крадіжки даних, маніпулювання поведінкою мережі та дослідження систем на наявність подальших слабких місць. Через широкі можливості та функції уникнення, будь-яка підтверджена присутність Atroposia на пристрої вимагає негайного видалення.
Загроза шкідливого програмного забезпечення пропонується потенційним «клієнтам» у трьох рівнях оплати:
Щомісячна орендна плата: 200 доларів США
Щоквартально: 500 доларів США (три місяці)
Піврічний: 900 доларів США (шість місяців)
Зміст
Прихованість, наполегливість та канал керування
Atroposia створена для того, щоб залишатися прихованою. Вона може автоматично підвищувати привілеї (оминаючи UAC), використовує кілька методів збереження, щоб вижити після перезавантажень, і розроблена для уникнення виявлення антивірусом. Її зв'язок із серверами командного контролю оператора зашифрований, а веб-панель керування спрощує виконання шкідливих завдань навіть для помірно кваліфікованих злочинців.
Прихований пульт дистанційного керування та обробка файлів
Фірмовою особливістю є прихований компонент віддаленого робочого столу (відомий як «HRDP Connect»), який відкриває невидимий сеанс на комп’ютері жертви, щоб віддалений користувач міг взаємодіяти з робочим столом без видимих для користувача ознак. На додаток до цього, Atroposia включає файловий менеджер, який дозволяє зловмисникам переглядати диски та папки, шукати файли, завантажувати, видаляти або виконувати їх віддалено.
Масовий збір та прихована упаковка
RAT містить граббер, який шукає файли за розширенням або ключовим словом і об'єднує збіги в захищений паролем ZIP-архів. Він може збирати та упаковувати дані повністю в пам'яті або спиратися на вбудовані системні утиліти, мінімізуючи залишки артефактів на диску та ускладнюючи криміналістичне розслідування.
Можливості крадіжки облікових даних та гаманців
Модуль викрадання даних Atroposia збирає широкий спектр конфіденційного матеріалу: збережені паролі браузерів, облікові дані з бізнес-додатків та VPN-клієнтів, дані з програм обміну повідомленнями, дані менеджера паролів, де вони доступні, та інформацію про криптовалютні гаманці. Він також захоплює вміст буфера обміну (все, що користувач копіює або вирізає), реєструє та зберігає ці записи. Він навіть може перезаписувати вміст буфера обміну, щоб замінити скопійовані адреси гаманців або облікові дані — техніка, корисна для викрадання коштів або викрадення облікових записів.
Маніпуляції мережею та захоплення DNS
Зловмисне програмне забезпечення може змінювати налаштування DNS або іншим чином перехоплювати пошук імен, щоб браузер жертви непомітно перенаправлявся на контрольовані зловмисником сайти-самовбивці (наприклад, фальшиві сторінки входу). Оскільки браузер все ще може відображати очікувану URL-адресу, жертв можна обманом змусити ввести облікові дані, думаючи, що вони перебувають на легітимному сайті.
Сканування вразливостей та можливості ескалації
Atroposia містить сканер, який перевіряє заражений хост на наявність відсутніх патчів, слабких конфігурацій та застарілого програмного забезпечення. У корпоративних середовищах це може виявити цінні цілі — непатчені VPN-клієнти, помилки ескалації привілеїв або інші вразливості, — які зловмисники потім використовують для розширення доступу по мережі.
Утиліти системної телеметрії та дистанційного керування
Окрім крадіжки даних та віддаленого робочого столу, RAT збирає системні метадані (IP-адреси, версію ОС, геолокацію та інші деталі середовища), може перераховувати та керувати запущеними процесами, а також підтримує операції віддаленого вимкнення та перезавантаження. Набір інструментів також включає додаткові утиліти з меншим навантаженням, які разом забезпечують широку операційну гнучкість.
Як зазвичай відбуваються інфекції
Шкідливі або заражені документи (наприклад, заражені PDF-файли або інші вкладення, що розповсюджуються електронною поштою)
Пакети піратського програмного забезпечення, експлойти, шахрайська реклама, фальшиві схеми технічної підтримки, P2P/спільні файли, шахрайські сайти завантаження, сторонні інсталятори та подібні канали
Чому ці методи доставки успішні: зловмисники покладаються на соціальну інженерію (підроблені документи, спонукання до завантаження або запити на запуск файлів) або на зловживання вразливостями та оманливими інсталяторами — більшість заражень трапляються, коли користувача обманом змушують запустити шкідливе програмне забезпечення.
Зведення впливу
Atroposia дозволяє здійснювати комплексне вилучення даних (файлів, облікових даних, даних буфера обміну, криптогаманців), приховане дистанційне керування, перенаправлення мережі шляхом втручання в DNS та розвідку для подальшого використання. Її прихована архітектура (ескалація привілеїв, збереження даних, упаковка в пам'яті, зашифрований C2 та приховані віддалені сесії) робить її особливо небезпечною як для окремих осіб, так і для організацій.
Негайна відповідь
Якщо в системі є підозра на Atroposia або вона виявлена, від’єднайте пристрій від мереж, збережіть журнали для аналізу, якщо можливо, та видаліть шкідливе програмне забезпечення якомога швидше. Оскільки оператори можуть використовувати зібрані облікові дані та непрямі маршрути, розглядайте будь-яку компрометацію як потенційно поширену та розгляньте можливість заміни паролів, скасування токенів та проведення ширшого внутрішнього розслідування.
