PY#RATION RAT naudoja unikalų C2 metodą
Saugumo tyrinėtojai 2022 m. rugpjūčio mėn. nustatė naują kibernetinę ataką naudojant Python pagrindu sukurtą nuotolinės prieigos Trojos arklys (RAT). Anot Securonix, kenkėjiška programa, vadinama PY#RATION, yra unikali tuo, kad komandų ir valdymo komunikacijai naudojama WebSockets. ir duomenų išfiltravimas.
Šiai atakai naudojamuose sukčiavimo el. laiškuose yra ZIP archyvai, kuriuose yra du .LNK failai, užmaskuoti kaip JK vairuotojo pažymėjimo vaizdai. Kai atidaromos visos nuorodos, du tekstiniai failai atsisiunčiami iš nuotolinio serverio ir pervadinami į .BAT failus, o vykdomi fone ir rodomas netikras vaizdas.
Be to, iš C2 serverio paimamas kitas paketinis scenarijus, kad būtų galima atsisiųsti papildomų naudingų dalykų, pvz., CortanaAssistance.exe, kuris naudojamas bandant užmaskuoti kenkėjišką programą kaip sistemos failą. Buvo nustatytos dvi šio Trojos arklys (1.0 ir 1.6) su beveik 1000 kodo eilučių naujesnėje versijoje, kad būtų palaikomos tinklo nuskaitymo funkcijos ir šifravimas naudojant Fernet modulį. Galimybės apima failų perkėlimą, klavišų paspaudimų įrašymą, sistemos komandų vykdymą, slaptažodžių / slapukų ištraukimą iš žiniatinklio naršyklių, iškarpinės duomenų fiksavimą ir antivirusinės programinės įrangos patikrinimą.
Tai taip pat yra būdas įdiegti papildomą kenkėjišką programą, pvz., informacijos vagystę, skirtą informacijai gauti iš interneto naršyklių ir kriptovaliutų piniginių. Nors grėsmės veikėjo kilmė nežinoma, manoma, kad numatyti taikiniai gali būti JK arba Šiaurės Amerikoje, sprendžiant iš sukčiavimo jaukų.
Kas yra užpakalinės durys, kurias naudoja kenkėjiškos programos, pvz., PY#RATION, siekdamos pažeisti sistemą?
Užpakalinės durys yra kenkėjiškos programos, leidžiančios užpuolikams gauti prieigą prie sistemos be vartotojo žinios ar leidimo. Kenkėjiškos programos, tokios kaip PY#RATION, paprastai naudoja užpakalines duris, kad sukompromituotų sistemą, išnaudodamos operacinės sistemos, programų ar tinklo protokolų spragas.
Įprasti užpakalinių durų metodai apima nuotolinės prieigos įrankių, tokių kaip nuotolinio darbalaukio protokolas (RDP), naudojimą, paslėptų paskyrų su administratoriaus teisėmis kūrimą ir kenkėjiškų scenarijų naudojimą komandoms vykdyti tiksliniame kompiuteryje. Užpakalines duris taip pat galima naudoti norint apeiti autentifikavimo mechanizmus ir gauti prieigą prie jautrių duomenų. Be to, užpakalinės durys gali būti naudojamos papildomoms kenkėjiškoms programoms įdiegti pažeistoje sistemoje, leidžiančios užpuolikams dar labiau valdyti aukos mašiną.
Kodėl nuotolinės prieigos Trojos arklys, pvz., PY#RATION, yra pagrindinė bet kurios aukos saugumo problema?
Nuotolinės prieigos Trojos arklys, pvz., PY#RATION, yra pagrindinė bet kurios aukos saugumo problema, nes jie leidžia užpuolikams pasiekti sistemą be vartotojo žinios ar leidimo. Šio tipo kenkėjiškos programos gali išnaudoti operacinės sistemos, programų ar tinklo protokolų spragas, kad apeitų autentifikavimo mechanizmus ir gautų prieigą prie jautrių duomenų.
Be to, užpakalinės durys gali būti naudojamos papildomoms kenkėjiškoms programoms įdiegti pažeistoje sistemoje, leidžiančios užpuolikams dar labiau valdyti aukos mašiną. Tai reiškia, kad užpuolikas gali visiškai kontroliuoti aukos kompiuterį, įskaitant prieigą prie asmeninės informacijos, tokios kaip slaptažodžiai ir finansiniai duomenys. Be to, nuotolinės prieigos Trojos arkliai gali būti naudojami paskirstytoms paslaugų atsisakymo (DDoS) atakoms prieš kitas sistemas ar tinklus paleisti, todėl jie tampa dar pavojingesni.
Todėl svarbu, kad vartotojai imtųsi veiksmų, kad apsisaugotų nuo tokio tipo grėsmių, naudodami stiprius slaptažodžius ir nuolat atnaujindami savo sistemas su naujausiomis saugos pataisomis.