CetaRAT

CetaRAT 是一种使用 C# 编程语言编写的远程访问木马 (RAT) 威胁。它的主要功能是开展间谍活动，从受感染的机器中收集敏感数据，然后将其泄露。当它部署在仍在进行的 SideCopy 行动中时，信息安全社区首先注意到了这一威胁，这是一项针对印度国防军和武装部队人员的攻击活动。从那时起，CetaRAT 一直在扩大其影响范围，并被用于针对印度政府机构的额外攻击。

攻击链

CetaRAT 的感染链始于分发带有武器化附件的鱼叉式网络钓鱼电子邮件。损坏的附件可以采用 ZIP 存档的形式，从远程 URL 获取 HTA 文件。执行 HTA 文件会将 CetaRAT 的威胁传递到受害者的机器上。到目前为止，已经观察到两种不同的方法。

在第一个中，在 HTA 文件启动后，它继续创建并执行放置在“C:\ProgramData”位置的 JavaScript 文件。该脚本负责向毫无戒心的受害者展示诱饵文件，以分散他们的注意力，即 CetaRAT 有效载荷正在被投放到系统的启动位置。诱饵文件通常包含有关该地区和特别是印度的相关主题的信息。

第二种方法是创建和执行批处理文件，这些文件放在受感染设备的 C 驱动器上随机命名的文件夹中。下一步是在HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加一个指向 CetaRAT 负载的注册表项。在这种情况下，威胁的可执行文件位于“%AppData/Roaming%”文件夹中。

收集的数据

在 CetaRAT 激活其主要功能之前，威胁会对所有正在运行的 AV 解决方案进行扫描，并将获取的详细信息发送到其命令与控制（C2，C&C）服务器。之后，它开始收集各种系统详细信息，包括计算机名称、IP 地址、内存详细信息、处理器信息、操作系统数据等。

当有关受感染设备的初始信息传输完毕后，CetaRAT 将等待其他命令。威胁行为者可以指示 RAT 获取额外的有效载荷并执行它们、操纵受害者的文件系统、截取任意屏幕截图、执行任意命令和其他侵入性操作。所有收集到的数据在传输到 C2 服务器之前都使用 RC4 算法进行加密。