CetaRATトロイの木馬は、遅延アクティベーションを使用してセキュリティを回避します
CetaRATはリモートアクセストロイの木馬(RAT)であり、その開発と使用は未知のAdvanced Persistent Threat(APT)グループに起因します。ただし、CetaRATは以前、Operation SideCopy APTが運営するキャンペーンに関与していたため、背後にいる犯罪者が他のグループとツールを共有している可能性があります。
CetaRAT感染は通常、危険な添付ファイルを含むスピアフィッシングメールを通じて発生します。もちろん、ファイルは、被害者が疑わしいとは見なさない無害な文書、請求書、またはアーカイブのように見せかけています。悪意のあるファイルを開くと、マクロスクリプトの実行、およびCetaRATペイロードの配信につながる特定のアクセス許可を付与するように求められる場合があります。
政治関連のフィッシングメッセージがCetaRATを広める
CetaRATを配信するフィッシングメッセージは、通常、被害者の地域の政治関連のトピックに焦点を当てています。たとえば、インドと中国の関係、または外務省の文書です。感染したマシンでCetaRATを実行する方法も非常に興味深いものです。悪意のあるモジュールをすぐに初期化する代わりに、脅威はそのファイルをスタートアップディレクトリにドロップし、しばらくしてから再起動するようにマシンに命令するスクリプトを開始します。この遅延実行により、CetaRATは特定のセキュリティ機能を回避できる可能性があります。
このリモートアクセス型トロイの木馬の主な焦点は、被害者のマシンからデータを盗み出し、攻撃者のサーバーに転送することです。犯罪者は、リモートコマンドの長いリストを実行することもできます。
- ファイルをダウンロードして実行します。
- ファイルシステムを管理します。
- ファイルの名前を変更します。
- リモートコマンドを実行します。
- スクリーンショットを取得します。
- 実行中のプロセスを管理します。
CetaRAT攻撃の影響を受けた地域の被害者は、添付ファイルの表示を促す不審な電子メールに注意を払うことで、セキュリティを強化できます。これに加えて、最新のウイルス対策ソリューションを使用することがマルウェア攻撃を阻止するための最良の方法です。