Το PY#RATION RAT χρησιμοποιεί τη μοναδική προσέγγιση C2

Οι ερευνητές ασφαλείας εντόπισαν μια νέα επίθεση στον κυβερνοχώρο χρησιμοποιώντας έναν Trojan Remote Access (RAT) που βασίζεται σε Python τον Αύγουστο του 2022. Σύμφωνα με τη Securonix, το κακόβουλο λογισμικό, που αναφέρεται ως PY#RATION, είναι μοναδικό με τη χρήση των WebSockets για επικοινωνία εντολών και ελέγχου και διήθηση δεδομένων.

Τα μηνύματα ηλεκτρονικού ψαρέματος που χρησιμοποιούνται για αυτήν την επίθεση περιέχουν αρχεία ZIP που περιέχουν δύο αρχεία .LNK που είναι μεταμφιεσμένα ως εικόνες άδειας οδήγησης του ΗΒ. Όταν ανοίγει καθένας από τους συνδέσμους, πραγματοποιούνται λήψη δύο αρχείων κειμένου από έναν απομακρυσμένο διακομιστή και μετονομάζονται σε αρχεία .BAT ενώ εκτελούνται στο παρασκήνιο ενώ εμφανίζεται μια ψεύτικη εικόνα.

Επιπλέον, μια άλλη δέσμη ενεργειών ανακτάται από έναν διακομιστή C2 για τη λήψη πρόσθετων ωφέλιμων φορτίων όπως το CortanaAssistance.exe που χρησιμοποιείται για να προσπαθήσει να συγκαλύψει το κακόβουλο λογισμικό ως αρχείο συστήματος. Έχουν εντοπιστεί δύο εκδόσεις αυτού του trojan (1.0 και 1.6) με σχεδόν 1000 γραμμές κώδικα που προστέθηκαν στη νεότερη έκδοση για την υποστήριξη δυνατοτήτων σάρωσης δικτύου και κρυπτογράφησης χρησιμοποιώντας τη μονάδα Fernet. Οι δυνατότητες περιλαμβάνουν τη μεταφορά αρχείων, την εγγραφή πληκτρολογήσεων, την εκτέλεση εντολών συστήματος, την εξαγωγή κωδικών πρόσβασης/cookies από προγράμματα περιήγησης ιστού, τη λήψη δεδομένων από το πρόχειρο και τον έλεγχο για παρουσία λογισμικού προστασίας από ιούς.

Αυτό χρησιμεύει επίσης ως μονοπάτι για την ανάπτυξη πρόσθετου κακόβουλου λογισμικού, όπως ένα πρόγραμμα κλοπής πληροφοριών που έχει σχεδιαστεί για την απόκτηση πληροφοριών από προγράμματα περιήγησης ιστού και πορτοφόλια κρυπτονομισμάτων. Αν και η προέλευση του παράγοντα απειλής παραμένει άγνωστη, πιστεύεται ότι οι επιδιωκόμενοι στόχοι μπορεί να βρίσκονται στο Ηνωμένο Βασίλειο ή τη Βόρεια Αμερική, αν κρίνουμε από τα θέλγητρα phishing.

Τι είναι οι κερκόπορτες που χρησιμοποιεί κακόβουλο λογισμικό όπως το PY#RATION για να θέσει σε κίνδυνο ένα σύστημα;

Τα Backdoors είναι κακόβουλα προγράμματα που επιτρέπουν στους εισβολείς να αποκτήσουν πρόσβαση σε ένα σύστημα χωρίς τη γνώση ή την άδεια του χρήστη. Κακόβουλο λογισμικό όπως το PY#RATION χρησιμοποιεί συνήθως κερκόπορτες για να παραβιάσει ένα σύστημα εκμεταλλευόμενο τα τρωτά σημεία στο λειτουργικό σύστημα, τις εφαρμογές ή τα πρωτόκολλα δικτύου.

Οι κοινές τεχνικές backdoor περιλαμβάνουν τη χρήση εργαλείων απομακρυσμένης πρόσβασης όπως το Πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP), τη δημιουργία κρυφών λογαριασμών με δικαιώματα διαχειριστή και τη χρήση κακόβουλων σεναρίων για την εκτέλεση εντολών στο μηχάνημα προορισμού. Τα backdoors μπορούν επίσης να χρησιμοποιηθούν για να παρακάμψουν μηχανισμούς ελέγχου ταυτότητας και να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα. Επιπλέον, τα backdoors μπορούν να χρησιμοποιηθούν για την εγκατάσταση πρόσθετου κακόβουλου λογισμικού στο παραβιασμένο σύστημα, επιτρέποντας στους εισβολείς να επεκτείνουν περαιτέρω τον έλεγχό τους στον υπολογιστή του θύματος.

Γιατί τα trojan απομακρυσμένης πρόσβασης όπως το PY#RATION αποτελούν σημαντικό ζήτημα ασφάλειας για κάθε θύμα;

Τα trojan απομακρυσμένης πρόσβασης όπως το PY#RATION αποτελούν σημαντικό ζήτημα ασφάλειας για κάθε θύμα, επειδή επιτρέπουν στους εισβολείς να αποκτήσουν πρόσβαση σε ένα σύστημα χωρίς τη γνώση ή την άδεια του χρήστη. Αυτός ο τύπος κακόβουλου λογισμικού μπορεί να εκμεταλλευτεί ευπάθειες στο λειτουργικό σύστημα, τις εφαρμογές ή τα πρωτόκολλα δικτύου για να παρακάμψει μηχανισμούς ελέγχου ταυτότητας και να αποκτήσει πρόσβαση σε ευαίσθητα δεδομένα.

Επιπλέον, τα backdoors μπορούν να χρησιμοποιηθούν για την εγκατάσταση πρόσθετου κακόβουλου λογισμικού στο παραβιασμένο σύστημα, επιτρέποντας στους εισβολείς να επεκτείνουν περαιτέρω τον έλεγχό τους στον υπολογιστή του θύματος. Αυτό σημαίνει ότι ένας εισβολέας θα μπορούσε ενδεχομένως να έχει απόλυτο έλεγχο στον υπολογιστή του θύματος, συμπεριλαμβανομένης της πρόσβασης σε προσωπικές πληροφορίες, όπως κωδικούς πρόσβασης και οικονομικά δεδομένα. Επιπλέον, τα trojan απομακρυσμένης πρόσβασης μπορούν να χρησιμοποιηθούν για την εκτόξευση επιθέσεων κατανεμημένης άρνησης υπηρεσίας (DDoS) εναντίον άλλων συστημάτων ή δικτύων, καθιστώντας τα ακόμη πιο επικίνδυνα.

Ως εκ τούτου, είναι σημαντικό για τους χρήστες να λαμβάνουν μέτρα για να προστατεύονται από αυτούς τους τύπους απειλών χρησιμοποιώντας ισχυρούς κωδικούς πρόσβασης και διατηρώντας τα συστήματά τους ενημερωμένα με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας.