CetaRAT

CetaRAT 是一種使用 C# 編程語言編寫的遠程訪問木馬 (RAT) 威脅。它的主要功能是開展間諜活動，從受感染的機器中收集敏感數據，然後將其洩露。當它部署在仍在進行的 SideCopy 行動中時，信息安全社區首先註意到了這一威脅，這是一項針對印度國防軍和武裝部隊人員的攻擊活動。從那時起，CetaRAT 一直在擴大其影響範圍，並被用於針對印度政府機構的額外攻擊。

攻擊鏈

CetaRAT 的感染鏈始於分髮帶有武器化附件的魚叉式網絡釣魚電子郵件。損壞的附件可以採用 ZIP 存檔的形式，從遠程 URL 獲取 HTA 文件。執行 HTA 文件會將 CetaRAT 的威脅傳遞到受害者的機器上。到目前為止，已經觀察到兩種不同的方法。

在第一個中，在 HTA 文件啟動後，它繼續創建並執行放置在“C:\ProgramData”位置的 JavaScript 文件。該腳本負責向毫無戒心的受害者顯示誘餌文件，以分散他們的注意力，即 CetaRAT 有效載荷正在被投放到系統的啟動位置。誘餌文件通常包含有關該地區和特別是印度的相關主題的信息。

第二種方法是創建和執行批處理文件，這些文件放在受感染設備的 C 驅動器上隨機命名的文件夾中。下一步是在HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run添加一個指向 CetaRAT 負載的註冊表項。在這種情況下，威脅的可執行文件位於“%AppData/Roaming%”文件夾中。

收集的數據

在 CetaRAT 激活其主要功能之前，威脅會對所有正在運行的 AV 解決方案進行掃描，並將獲取的詳細信息發送到其命令與控制（C2，C&C）服務器。之後，它開始收集各種系統詳細信息，包括計算機名稱、IP 地址、內存詳細信息、處理器信息、操作系統數據等。

當有關受感染設備的初始信息傳輸完畢後，CetaRAT 將等待其他命令。威脅行為者可以指示 RAT 獲取額外的有效載荷並執行它們、操縱受害者的文件系統、截取任意屏幕截圖、執行任意命令和其他侵入性操作。所有收集到的數據在傳輸到 C2 服務器之前都使用 RC4 算法進行加密。