Ezüst RAT Szíriai fenyegetőzőhöz köthető

Az Anonymous Arabic néven ismert hackercsoport a közelmúltban egy új távoli hozzáférésű trójai (RAT) nevű Silver RAT-ot dobott piacra. Ez a rosszindulatú program a biztonsági szoftverek megkerülésére és a rejtett alkalmazások diszkrét kezdeményezésére készült. A Cyfirma, egy kiberbiztonsági cég a közelmúltban megjelent jelentésében kiemelte a fejlesztők aktív és kifinomult jelenlétét több hacker fórumon és közösségi média platformon.

Ezek a feltehetően szíriai származású, és egy másik, S500 RAT nevű RAT létrehozásához kapcsolódó fenyegető szereplők különféle szolgáltatásokat kínáló Telegram-csatornát kezelnek. Ezek a szolgáltatások magukban foglalják a feltört RAT-ok terjesztését, a kiszivárgott adatbázisok megosztását, a kártolási tevékenységeket, valamint a Facebook és X (korábban Twitter) botok értékesítését. Az eladott közösségimédia-botokat később más kiberbűnözők alkalmazzák, hogy automatikusan interakcióba lépjenek a felhasználói tartalmakkal, és kommentálják az illegális szolgáltatásokat.

Az ezüst RAT még mindig viszonylag friss

A Silver RAT v1.0-t először 2023 novemberében észlelték vadon, annak ellenére, hogy a hackerek egy évvel korábban hivatalosan bejelentették a trójai program kiadását. A trójai feltörték, és 2023 októbere körül kiszivárgott a Telegramon.

Ez a C#-alapú rosszindulatú program számos funkcióval rendelkezik, mint például a parancs- és vezérlőkiszolgálóhoz (C2) való csatlakozás, a billentyűleütések naplózása, a rendszer-visszaállítási pontok törlése és az adatok titkosítása ransomware segítségével. Arra is utalnak, hogy jelenleg egy Android-verzió fejlesztés alatt áll.

Amikor hasznos terhet hoz létre a Silver RAT építőjével, a fenyegetés szereplői különféle lehetőségek közül választhatnak, amelyek mérete akár 50 kb. A csatlakozást követően az áldozat adatai megjelennek a támadó által vezérelt Silver RAT panelen, és a kiválasztott funkciókon alapuló naplókat jelenítenek meg.

A Silver RAT-ba beépített érdekes kijátszási taktika az, hogy egy adott időre elhalasztja a hasznos terhelés végrehajtását, valamint képes diszkréten elindítani az alkalmazásokat és átvenni az irányítást a kompromittált gazdagép felett.

A kártevők szerzőinek online tevékenységének további vizsgálata arra utal, hogy a csoport egyik tagja valószínűleg a húszas évei közepén jár, és Damaszkuszban tartózkodik.