CetaRAT Trojan bruker forsinket aktivering for å unngå sikkerhet

CetaRAT er en Remote Access Trojan (RAT) hvis utvikling og bruk tilskrives en ukjent Advanced Persistent Threat (APT) gruppe. Imidlertid er det mulig at kriminelle bak kan dele verktøy med andre grupper, siden CetaRAT tidligere var involvert i en kampanje drevet av Operation SideCopy APT.

CetaRAT-infeksjoner oppstår vanligvis gjennom spearphishing-e-poster som inneholder et farlig vedlegg. Selvsagt er filen forkledd for å se ut som et ufarlig dokument, faktura eller arkiv som offeret ikke vil vurdere som mistenkelig. Hvis de åpner den skadelige filen, kan de bli bedt om å gi den visse tillatelser som vil føre til kjøring av et makroskript og levering av CetaRAT-nyttelasten.

Politikk-relaterte phishing-meldinger Spre CetaRAT

Phishing-meldingene som leverer CetaRAT fokuserer vanligvis på politikkrelaterte emner i offerets region – for eksempel forholdet mellom India og Kina, eller dokumentasjon fra utenriksdepartementet. Måten CetaRAT kjører på infiserte maskiner er også veldig spennende. I stedet for å initialisere den skadelige modulen umiddelbart, vil trusselen slippe filene sine i oppstartskatalogen , og deretter starte et skript for å beordre maskinen til å starte på nytt etter en stund. Denne forsinkede utførelsen kan gjøre det mulig for CetaRAT å unngå visse sikkerhetsfunksjoner.

Hovedfokuset til denne fjerntilgangstrojaneren er å eksfiltrere data fra offerets maskin og overføre dem til serveren til angriperne. De kriminelle er også i stand til å utføre en lang liste med fjernkommandoer:

• Last ned og kjør en fil.
• Administrer filsystemet.
• Gi nytt navn til filer.
• Utfør fjernkommandoer.
• Ta skjermbilder.
• Administrer løpende prosesser.

Ofre i regionene som er berørt av CetaRAT-angrepet kan forbedre sikkerheten ved å være årvåken for mistenkelige e-poster som oppfordrer dem til å se et vedlegg. I tillegg til dette er bruk av en oppdatert antivirusløsning den beste måten å avskrekke angrep fra skadelig programvare.