ReverseRat
研究人员已检测到使用名为 ReverseRat 的先前未知的远程访问木马 (RAT) 的潜在有害攻击活动。该威胁连同名为 AllaKore 的开源 RAT 已针对在关键行业部门运营的少数选定目标进行部署。一些已确定的受害者包括外国政府组织、输电公司以及发电和输电组织。几乎所有在 ReverseRat 活动中观察到的显示符合 IoC(妥协指标)迹象的组织都位于印度,只有少数受害者来自阿富汗。至于对袭击负责的威胁行为者,它似乎要么在巴基斯坦开展业务,要么与该国有联系。
ReverseRat 的能力
一旦成功部署在受害者的内部网络中,ReverseRat 就允许威胁参与者根据他们的特定目标执行许多威胁活动。让我们从头开始 - 威胁通过枚举受感染设备并通过 Windows Management Instrumentation (WMI) 收集有关它的各种数据来开始其运行。收集到的信息包括设备的 MAC 地址、与其连接的物理内存以及大量 CPU 详细信息 - 最大时钟速度、型号名称、制造商等。 ReverseRat 还通过以下方式确定计算机名称、操作系统和公共 IP 地址.Net 框架。
然后对所有收集的数据进行编码并发送到命令和控制(C2、C&C)节点。 ReverseRat 然后等待接收与其预建函数匹配的适当命令。攻击者可以指示 RAT 修改系统上的文件结构;运行、启动或终止指定进程、从剪贴板收集数据、截取屏幕截图以及从隐藏的 cmd.exe 窗口执行任意命令。然而,这组基本功能可以通过 ReverseRat 可以下载并在被破坏的系统上启动的附加模块进行扩展。
RAT 是极具威胁性的恶意软件,即使是不符合 ReverseRat 受害者当前标准的组织也应采取必要的预防措施并调整其安全措施。
