PY#RATION RAT Bruker unik C2-tilnærming

Sikkerhetsforskere har identifisert et nytt cyberangrep med en Python-basert Remote Access Trojan (RAT) tilbake i august 2022. I følge Securonix er skadelig programvare, referert til som PY#RATION, unik med sin bruk av WebSockets for kommando- og kontrollkommunikasjon og dataeksfiltrering.

Phishing-e-postene som ble brukt til dette angrepet inneholder ZIP-arkiver som inneholder to .LNK-filer som er forkledd som britiske førerkortbilder. Når hver av koblingene åpnes, blir to tekstfiler lastet ned fra en ekstern server og omdøpt til .BAT-filer mens de kjøres i bakgrunnen mens et falskt bilde vises.

Videre hentes et annet batchskript fra en C2-server for å laste ned ytterligere nyttelaster som CortanaAssistance.exe som brukes til å forsøke å skjule skadelig programvare som en systemfil. To versjoner av denne trojaneren har blitt identifisert (1.0 og 1.6) med nesten 1000 kodelinjer lagt til i den nyere versjonen for å støtte nettverksskanningsfunksjoner og kryptering ved hjelp av Fernet-modulen. Mulighetene inkluderer å overføre filer, ta opp tastetrykk, utføre systemkommandoer, trekke ut passord/informasjonskapsler fra nettlesere, fange utklippstavledata og se etter tilstedeværelse av antivirusprogramvare.

Dette fungerer også som en vei for å distribuere ytterligere skadelig programvare som en info-tyver designet for å hente informasjon fra nettlesere og kryptovaluta-lommebøker. Selv om opprinnelsen til trusselaktøren fortsatt er ukjent, antas det at de tiltenkte målene kan være lokalisert i Storbritannia eller Nord-Amerika, dømme etter phishing-lokkene.

Hva er bakdører som skadelig programvare som PY#RATION bruker for å kompromittere et system?

Bakdører er ondsinnede programmer som lar angripere få tilgang til et system uten brukerens viten eller tillatelse. Skadelig programvare som PY#RATION bruker vanligvis bakdører for å kompromittere et system ved å utnytte sårbarheter i operativsystemet, applikasjonene eller nettverksprotokollene.

Vanlige bakdørsteknikker inkluderer bruk av fjerntilgangsverktøy som Remote Desktop Protocol (RDP), oppretting av skjulte kontoer med administrative rettigheter og bruk av ondsinnede skript for å utføre kommandoer på målmaskinen. Bakdører kan også brukes til å omgå autentiseringsmekanismer og få tilgang til sensitive data. I tillegg kan bakdører brukes til å installere ytterligere skadelig programvare på det kompromitterte systemet, slik at angripere kan utvide kontrollen over offerets maskin ytterligere.

Hvorfor er fjerntilgangstrojanere som PY#RATION et stort sikkerhetsproblem for ethvert offer?

Fjerntilgangstrojanere som PY#RATION er et stort sikkerhetsproblem for ethvert offer fordi de lar angripere få tilgang til et system uten brukerens viten eller tillatelse. Denne typen skadelig programvare kan utnytte sårbarheter i operativsystemet, applikasjonene eller nettverksprotokollene for å omgå autentiseringsmekanismer og få tilgang til sensitive data.

I tillegg kan bakdører brukes til å installere ytterligere skadelig programvare på det kompromitterte systemet, slik at angripere kan utvide kontrollen over offerets maskin ytterligere. Dette betyr at en angriper potensielt kan ha full kontroll over et offers datamaskin, inkludert tilgang til personlig informasjon som passord og økonomiske data. Videre kan trojanere med fjerntilgang brukes til å starte distribuert denial-of-service (DDoS)-angrep mot andre systemer eller nettverk, noe som gjør dem enda farligere.

Som sådan er det viktig for brukere å ta skritt for å beskytte seg mot denne typen trusler ved å bruke sterke passord og holde systemene deres oppdatert med de nyeste sikkerhetsoppdateringene.