ReverseRat, indiai entitásokat célzó pakisztáni trójai program
India és Pakisztán között folytatódik a kiberháború. Ezúttal egy ismeretlen pakisztáni fenyegetés-színész új kártevőt, ReverseRat-t használt, hogy veszélyeztesse az indiai székhelyű áramszolgáltatók hálózati biztonságát. Ezt az új fenyegetést gyakran alkalmazták más hasznos terhekkel együtt, és úgy tűnik, hogy elsődleges célja az adatlopás és a felderítés. Noha a ReverseRat funkciói nem túl fejlettek, több mint elegendő funkcionalitást tartalmaz, hogy üzemeltetői mindenféle feladatot elvégezhessenek az általuk veszélyeztetett rendszereken.
Az indiai áramszolgáltatók elleni támadásokban alkalmazott ReverseRat
Eddig a kutatóknak nem sikerült pontosan meghatározniuk azokat a pontos módszereket, amelyeket a bűnözők az implantátum leadására használnak, de nagyon valószínű, hogy e-mail mellékletekre támaszkodnak. Ha egy felhasználó interakcióba lép az árnyékos e-maillel, a rendszer kéri, hogy töltsön le egy mellékletet vagy egy külső webhelyen tárolt fájlt. A kérdéses fájl általában ZIP-archívum, amely vagy LNK-t, vagy PDF-fájlt tartalmaz. Ez a két fájl rosszindulatú kódot képes végrehajtani, ha a felhasználó bizonyos engedélyeket megad nekik. Ezen hamis dokumentumok témái változatosak lehetnek, de úgy tűnik, hogy a bűnözők az energiaágazatra jellemző témákra vagy a COVID-19 oltásokra összpontosítanak.
A ReverseRat rengeteg funkciót tartalmaz
A ReverseRat a futtatás előtt összegyűjt néhány alapvető információt az általa sértett hálózatról - MAC-cím, IP-cím, hardver- és szoftverkonfiguráció, valamint a számítógép neve. Miután futott, képes elvégezni több feladatot:
- Futtatható fájlok letöltése és indítása.
- Lopjon fájlokat.
- Futtasson egy új folyamatot.
- A fájlrendszer kezelése.
- Sorolja fel a könyvtár tartalmát.
- A futó folyamat megtekintése és kezelése.
- Elrabolja a vágólapot.
- Fogj képernyőképeket.
A ReverseRat trójai program lehetővé teszi egyes összetevőinek a memóriában történő végrehajtását, így minimalizálja az általa veszélyeztetett rendszereken hagyott adatmennyiséget. Támadása azonban nem teljesen oktalan, és ezt jó hírű víruskereső termékeknek könnyen fel kell fedezniük.