ReverseRat
研究人員已檢測到使用名為 ReverseRat 的先前未知的遠程訪問木馬 (RAT) 的潛在有害攻擊活動。該威脅連同名為 AllaKore 的開源 RAT 已針對在關鍵行業部門運營的少數選定目標進行部署。一些已確定的受害者包括外國政府組織、輸電公司以及發電和輸電組織。幾乎所有在 ReverseRat 活動中觀察到的顯示符合 IoC(妥協指標)跡象的組織都位於印度,只有少數受害者來自阿富汗。至於對襲擊負責的威脅行為者,它似乎要么在巴基斯坦開展業務,要么與該國有聯繫。
ReverseRat 的能力
一旦成功部署在受害者的內部網絡中,ReverseRat 就允許威脅參與者根據他們的特定目標執行許多威脅活動。讓我們從頭開始 - 威脅通過枚舉受感染設備並通過 Windows Management Instrumentation (WMI) 收集有關它的各種數據來開始其運行。收集到的信息包括設備的 MAC 地址、與其連接的物理內存以及大量 CPU 詳細信息 - 最大時鐘速度、型號名稱、製造商等。 ReverseRat 還通過以下方式確定計算機名稱、操作系統和公共 IP 地址.Net 框架。
然後對所有收集的數據進行編碼並發送到命令和控制(C2、C&C)節點。 ReverseRat 然後等待接收與其預建函數匹配的適當命令。攻擊者可以指示 RAT 修改系統上的文件結構;運行、啟動或終止指定進程、從剪貼板收集數據、截取屏幕截圖以及從隱藏的 cmd.exe 窗口執行任意命令。然而,這組基本功能可以通過 ReverseRat 可以下載並在被破壞的系統上啟動的附加模塊進行擴展。
RAT 是極具威脅性的惡意軟件,即使是不符合 ReverseRat 受害者當前標準的組織也應採取必要的預防措施並調整其安全措施。
