CetaRAT Trojos arklys naudoja atidėtą aktyvavimą, kad išvengtų saugumo

CetaRAT yra nuotolinės prieigos Trojos arklys (RAT), kurio kūrimas ir naudojimas priskiriamas nežinomai Išplėstinės nuolatinės grėsmės (APT) grupei. Tačiau gali būti, kad už jo slypintys nusikaltėliai dalijasi įrankiais su kitomis grupėmis, nes CetaRAT anksčiau dalyvavo kampanijoje, kurią vykdė Operation SideCopy APT.

CetaRAT infekcijos dažniausiai atsiranda per slaptus sukčiavimo el. laiškus, kuriuose yra pavojingų priedų. Žinoma, byla užmaskuota taip, kad atrodytų kaip nekenksmingas dokumentas, sąskaita faktūra ar archyvas, kurio auka nelaikys įtartina. Jei jie atidarys kenkėjišką failą, jie gali būti paraginti suteikti jam tam tikrus leidimus, dėl kurių bus vykdomas makrokomandos scenarijus ir CetaRAT naudingoji apkrova.

Su politika susiję sukčiavimo pranešimai skleidžia CetaRAT

Sukčiavimo pranešimai, siunčiantys CetaRAT, dažniausiai yra skirti su politika susijusioms temoms aukos regione, pvz., Indijos ir Kinijos santykiai arba Užsienio reikalų ministerijos dokumentai. Taip pat labai intriguoja tai, kaip CetaRAT veikia užkrėstose mašinose. Užuot iš karto inicijavusi kenkėjišką modulį, grėsmė išmes savo failus į paleisties katalogą ir inicijuos scenarijų, kad po kurio laiko mašina būtų paleista iš naujo. Dėl šio atidėto vykdymo CetaRAT gali išvengti tam tikrų saugos funkcijų.

Pagrindinis šio nuotolinės prieigos Trojos arklys tikslas yra išfiltruoti duomenis iš aukos kompiuterio ir perkelti juos į užpuolikų serverį. Nusikaltėliai taip pat gali vykdyti ilgą nuotolinių komandų sąrašą:

• Atsisiųskite ir paleiskite failą.
• Tvarkykite failų sistemą.
• Pervardyti failus.
• Vykdykite nuotolines komandas.
• Paimkite ekrano kopijas.
• Valdykite vykdomus procesus.

Aukos regionuose, paveiktuose CetaRAT atakos, gali padidinti savo saugumą, nes išliks budrūs dėl įtartinų el. laiškų, raginančių peržiūrėti priedą. Be to, naujausio antivirusinio sprendimo naudojimas yra geriausias būdas atgrasyti nuo kenkėjiškų programų atakų.