PY#RATION RAT bruger en unik C2-tilgang

Sikkerhedsforskere har identificeret et nyt cyberangreb ved hjælp af en Python-baseret Remote Access Trojan (RAT) tilbage i august 2022. Ifølge Securonix er malwaren, omtalt som PY#RATION, unik med sin brug af WebSockets til kommando- og kontrolkommunikation og dataeksfiltrering.

Phishing-e-mails, der blev brugt til dette angreb, indeholder ZIP-arkiver, som indeholder to .LNK-filer, der er forklædt som britiske kørekortbilleder. Når hvert af linkene åbnes, downloades to tekstfiler fra en ekstern server og omdøbes til .BAT-filer, mens de udføres i baggrunden, mens der vises et falsk billede.

Ydermere hentes et andet batchscript fra en C2-server for at downloade yderligere nyttelaster såsom CortanaAssistance.exe, som bruges til at forsøge at skjule malwaren som en systemfil. To versioner af denne trojan er blevet identificeret (1.0 og 1.6) med næsten 1000 linjer kode tilføjet i den nyere version for at understøtte netværksscanningsfunktioner og kryptering ved hjælp af Fernet-modulet. Mulighederne omfatter overførsel af filer, optagelse af tastetryk, udførelse af systemkommandoer, udtrækning af adgangskoder/cookies fra webbrowsere, indfangning af udklipsholderdata og kontrol af tilstedeværelse af antivirussoftware.

Dette fungerer også som en vej til at implementere yderligere malware, såsom en info-tyver, der er designet til at hente information fra webbrowsere og cryptocurrency-punge. Selvom trusselsaktørens oprindelse forbliver ukendt, menes det, at de påtænkte mål kan være placeret i Storbritannien eller Nordamerika at dømme efter phishing-lokkerne.

Hvad er bagdøre, som malware som PY#RATION bruger til at kompromittere et system?

Bagdøre er ondsindede programmer, der giver hackere mulighed for at få adgang til et system uden brugerens viden eller tilladelse. Malware som PY#RATION bruger typisk bagdøre til at kompromittere et system ved at udnytte sårbarheder i operativsystemet, applikationerne eller netværksprotokollerne.

Almindelige bagdørsteknikker omfatter brug af fjernadgangsværktøjer såsom Remote Desktop Protocol (RDP), oprettelse af skjulte konti med administrative rettigheder og brug af ondsindede scripts til at udføre kommandoer på målmaskinen. Bagdøre kan også bruges til at omgå godkendelsesmekanismer og få adgang til følsomme data. Derudover kan bagdøre bruges til at installere yderligere malware på det kompromitterede system, hvilket giver angribere mulighed for yderligere at udvide deres kontrol over offerets maskine.

Hvorfor er fjernadgangstrojaner som PY#RATION et stort sikkerhedsproblem for ethvert offer?

Fjernadgangstrojanske heste som PY#RATION er et stort sikkerhedsproblem for ethvert offer, fordi de tillader angribere at få adgang til et system uden brugerens viden eller tilladelse. Denne type malware kan udnytte sårbarheder i operativsystemet, applikationerne eller netværksprotokollerne til at omgå godkendelsesmekanismer og få adgang til følsomme data.

Derudover kan bagdøre bruges til at installere yderligere malware på det kompromitterede system, hvilket giver angribere mulighed for yderligere at udvide deres kontrol over offerets maskine. Det betyder, at en angriber potentielt kan have fuldstændig kontrol over et offers computer, herunder adgang til personlige oplysninger såsom adgangskoder og økonomiske data. Ydermere kan trojanske heste med fjernadgang bruges til at lancere distribuerede denial-of-service (DDoS)-angreb mod andre systemer eller netværk, hvilket gør dem endnu farligere.

Som sådan er det vigtigt for brugerne at tage skridt til at beskytte sig selv mod disse typer trusler ved at bruge stærke adgangskoder og holde deres systemer opdateret med de nyeste sikkerhedsrettelser.