ReverseRat、インドのエンティティを標的とするパキスタンのトロイの木馬
インドとパキスタンの間のサイバー戦争は続いています。今回、未知のパキスタンの脅威アクターが、ReverseRatと呼ばれる新しいマルウェアを使用して、インドを拠点とする電力会社のネットワークセキュリティを侵害しています。この新しい脅威は、他のペイロードと組み合わせて使用されることが多く、その主な目的はデータの盗難と偵察にあるようです。 ReverseRatの機能はそれほど高度ではありませんが、オペレーターが侵害したシステムであらゆる種類のタスクを実行できるようにするのに十分な機能を備えています。
インドの電力会社に対する攻撃に採用されたReverseRat
これまでのところ、研究者は、犯罪者がインプラントを送達するために使用する正確な方法を正確に特定することはできませんでしたが、電子メールの添付ファイルに依存している可能性が非常に高いです。ユーザーが日陰の電子メールを操作することになった場合、添付ファイルまたは外部サイトでホストされているファイルをダウンロードするように求められる場合があります。問題のファイルは通常、LNKファイルまたはPDFファイルのいずれかを含むZIPアーカイブです。これらの2つのファイルは、ユーザーが特定の権限を付与した場合、悪意のあるコードを実行する可能性があります。これらの偽造文書のトピックは異なる場合がありますが、犯罪者はエネルギー部門に固有の、またはCOVID-19ワクチンに関連する主題に焦点を合わせているようです。
ReverseRatは膨大な数の機能を詰め込んでいます
実行する前に、ReverseRatは、侵害したネットワークに関するいくつかの基本情報(MACアドレス、IPアドレス、ハードウェアとソフトウェアの構成、およびコンピューター名)を収集します。実行すると、いくつかのタスクを実行する機能があります。
- 実行可能ファイルをダウンロードして起動します。
- ファイルを盗む。
- 新しいプロセスを実行します。
- ファイルシステムを管理します。
- ディレクトリの内容を一覧表示します。
- 実行中のプロセスを表示して管理します。
- クリップボードをハイジャックします。
- スクリーンショットを取得します。
ReverseRatトロイの木馬は、そのコンポーネントの一部をメモリ内で実行する機能を備えているため、侵害したシステムに残すデータフットプリントを最小限に抑えます。ただし、その攻撃は完全にファイルレスではなく、信頼できるウイルス対策製品で簡単に検出できるはずです。