A CetaRAT trójai késleltetett aktiválást használ a biztonság elkerülésére
A CetaRAT egy távelérési trójai (RAT), amelynek fejlesztése és használata egy ismeretlen Advanced Persistent Threat (APT) csoportnak tulajdonítható. Lehetséges azonban, hogy a mögötte álló bűnözők más csoportokkal osztanak meg eszközöket, mivel a CetaRAT korábban részt vett az Operation SideCopy APT által működtetett kampányban.
A CetaRAT fertőzések általában veszélyes mellékletet tartalmazó adathalász e-maileken keresztül fordulnak elő. Természetesen az aktát úgy álcázzák, hogy ártalmatlan dokumentumnak, számlának vagy archívumnak tűnjön, amelyet az áldozat nem tart gyanúsnak. Ha megnyitják a rosszindulatú fájlt, a rendszer felkérheti őket, hogy adjanak neki bizonyos engedélyeket, amelyek egy makrószkript végrehajtásához és a CetaRAT hasznos terhelés kézbesítéséhez vezetnek.
A politikával kapcsolatos adathalász üzenetek terjesztik a CetaRAT-ot
A CetaRAT-ot továbbító adathalász üzenetek általában az áldozat régiójában a politikával kapcsolatos témákra összpontosítanak – pl. India-Kína kapcsolatok, vagy a Külügyminisztérium dokumentációja. Az is nagyon érdekes, ahogy a CetaRAT fut a fertőzött gépeken. Ahelyett, hogy azonnal inicializálná a rosszindulatú modult, a fenyegetés eldobja fájljait az Indítási könyvtárba, majd elindít egy parancsfájlt, amely egy idő után újraindítást parancsol a gépnek. Ez a késleltetett végrehajtás lehetővé teheti a CetaRAT számára, hogy elkerüljön bizonyos biztonsági funkciókat.
Ennek a távelérési trójai programnak az elsődleges célja, hogy kiszűrje az adatokat az áldozat gépéről, és továbbítsa azokat a támadók szerverére. A bűnözők a távoli parancsok hosszú listáját is képesek végrehajtani:
- Töltse le és futtassa a fájlt.
- Kezelje a fájlrendszert.
- Fájlok átnevezése.
- Távoli parancsok végrehajtása.
- Készítsen képernyőképeket.
- Futó folyamatok kezelése.
A CetaRAT támadás által érintett régiókban élő áldozatok biztonságukat fokozhatják azzal, hogy ébernek maradnak a gyanús e-mailekre, amelyek egy melléklet megtekintésére buzdítják őket. Ezen túlmenően egy naprakész víruskereső megoldás a legjobb módja a rosszindulatú programok támadásainak megakadályozására.
