A PY#RATION RAT egyedi C2 megközelítést alkalmaz
Biztonsági kutatók egy Python-alapú Remote Access Trojan (RAT) segítségével új kibertámadást azonosítottak 2022 augusztusában. A Securonix szerint a PY#RATION néven emlegetett rosszindulatú program egyedülálló a WebSockets használatával a parancs- és vezérlési kommunikációhoz. és az adatok kiszűrése.
Az ehhez a támadáshoz használt adathalász e-mailek ZIP-archívumot tartalmaznak, amelyek két .LNK fájlt tartalmaznak, amelyeket egyesült királyságbeli jogosítványok képeinek álcáznak. Az egyes hivatkozások megnyitásakor két szöveges fájl letöltődik egy távoli szerverről, és átnevezi őket .BAT-fájlra, miközben a háttérben végrehajtódik, miközben hamis képet jelenít meg.
Ezenkívül a rendszer egy másik kötegelt szkriptet kér le egy C2-kiszolgálóról, hogy további hasznos tartalmakat töltsön le, például a CortanaAssistance.exe-t, amely a rosszindulatú program rendszerfájlként való álcázására szolgál. Ennek a trójainak két verzióját azonosították (1.0 és 1.6), amelyekhez közel 1000 sornyi kód került az újabb verzióba, hogy támogassa a hálózati szkennelési funkciókat és a Fernet modul segítségével történő titkosítást. A lehetőségek közé tartozik a fájlok átvitele, a billentyűleütések rögzítése, a rendszerparancsok végrehajtása, a jelszavak/cookie-k kinyerése a webböngészőkből, a vágólap adatainak rögzítése és a víruskereső szoftver jelenlétének ellenőrzése.
Ez egyúttal további rosszindulatú programok, például egy információlopó telepítésének útjaként is szolgál, hogy információkat szerezzen a webböngészőkből és a kriptovaluta pénztárcákból. Bár a fenyegető szereplő származása továbbra sem ismert, úgy vélik, hogy a célpontok az Egyesült Királyságban vagy Észak-Amerikában lehetnek, az adathalász csalik alapján.
Mik azok a hátsó ajtók, amelyeket a PY#RATION-hoz hasonló rosszindulatú programok használnak a rendszer feltörésére?
A hátsó ajtók olyan rosszindulatú programok, amelyek lehetővé teszik a támadók számára, hogy a felhasználó tudta vagy engedélye nélkül hozzáférjenek egy rendszerhez. Az olyan rosszindulatú programok, mint a PY#RATION, általában hátsó ajtókat használnak a rendszer feltörésére az operációs rendszer, az alkalmazások vagy a hálózati protokollok sebezhetőségeinek kihasználásával.
A gyakori hátsó ajtó technikák közé tartozik a távoli hozzáférési eszközök, például a Remote Desktop Protocol (RDP) használata, a rejtett fiókok létrehozása rendszergazdai jogosultságokkal, valamint a rosszindulatú szkriptek használata parancsok végrehajtására a célgépen. A hátsó ajtók a hitelesítési mechanizmusok megkerülésére és az érzékeny adatokhoz való hozzáférésre is használhatók. Ezenkívül a hátsó ajtók segítségével további rosszindulatú programokat telepíthetnek a feltört rendszerre, lehetővé téve a támadók számára, hogy tovább bővítsék ellenőrzésüket az áldozat gépe felett.
Miért jelentenek a PY#RATION-hoz hasonló távoli hozzáférésű trójai nagy biztonsági problémát minden áldozat számára?
A távoli hozzáférésű trójai programok, mint például a PY#RATION, minden áldozat számára komoly biztonsági problémát jelentenek, mivel lehetővé teszik a támadók számára, hogy a felhasználó tudta vagy engedélye nélkül hozzáférjenek egy rendszerhez. Az ilyen típusú rosszindulatú programok kihasználhatják az operációs rendszer, az alkalmazások vagy a hálózati protokollok sérülékenységét, hogy megkerüljék a hitelesítési mechanizmusokat, és hozzáférjenek az érzékeny adatokhoz.
Ezenkívül a hátsó ajtók segítségével további rosszindulatú programokat telepíthetnek a feltört rendszerre, lehetővé téve a támadók számára, hogy tovább bővítsék ellenőrzésüket az áldozat gépe felett. Ez azt jelenti, hogy a támadó teljes ellenőrzést gyakorolhat az áldozat számítógépe felett, beleértve a személyes adatokhoz, például jelszavakhoz és pénzügyi adatokhoz való hozzáférést. Ezenkívül a távoli hozzáférésű trójaiak felhasználhatók elosztott szolgáltatásmegtagadási (DDoS) támadások indítására más rendszerek vagy hálózatok ellen, ami még veszélyesebbé teszi azokat.
Ezért fontos, hogy a felhasználók lépéseket tegyenek, hogy megvédjék magukat az ilyen típusú fenyegetésekkel szemben erős jelszavak használatával és rendszerük naprakészen tartásával a legújabb biztonsági javításokkal.