CetaRAT Trojan bruger forsinket aktivering til at undgå sikkerhed

CetaRAT er en Remote Access Trojan (RAT), hvis udvikling og brug tilskrives en ukendt Advanced Persistent Threat (APT) gruppe. Det er dog muligt, at de kriminelle bagved kan dele værktøjer med andre grupper, da CetaRAT tidligere var involveret i en kampagne drevet af Operation SideCopy APT.

CetaRAT-infektioner opstår normalt gennem spearphishing-e-mails, der indeholder en farlig vedhæftet fil. Naturligvis er filen forklædt til at ligne et harmløst dokument, faktura eller arkiv, som ofret ikke vil anse for at være mistænkeligt. Hvis de åbner den ondsindede fil, kan de blive bedt om at give den visse tilladelser, der vil føre til udførelse af et makroscript og levering af CetaRAT-nyttelasten.

Politik-relaterede phishing-beskeder Spred CetaRAT

Phishing-meddelelserne, der leverer CetaRAT, fokuserer normalt på politiske relaterede emner i ofrets region – f.eks. forholdet mellem Indien og Kina eller dokumentation fra Udenrigsministeriet. Den måde, som CetaRAT kører på inficerede maskiner, er også meget spændende. I stedet for at initialisere det ondsindede modul med det samme, vil truslen slippe sine filer i opstartsmappen og derefter starte et script for at beordre maskinen til at genstarte efter nogen tid. Denne forsinkede udførelse kan gøre det muligt for CetaRAT at undgå visse sikkerhedsfunktioner.

Det primære fokus for denne Remote Access Trojan er at eksfiltrere data fra ofrets maskine og overføre dem til angribernes server. De kriminelle er også i stand til at udføre en lang række af fjernkommandoer:

• Download og kør en fil.
• Administrer filsystemet.
• Omdøb filer.
• Udfør fjernkommandoer.
• Tag skærmbilleder.
• Administrer løbende processer.

Ofre i de regioner, der er berørt af CetaRAT-angrebet, kan forbedre deres sikkerhed ved at være på vagt over for mistænkelige e-mails, der opfordrer dem til at se en vedhæftet fil. Ud over dette er brug af en opdateret antivirusløsning den bedste måde at afskrække malwareangreb på.