PY#RATION RAT wykorzystuje unikalne podejście C2
Badacze bezpieczeństwa zidentyfikowali nowy cyberatak przy użyciu trojana zdalnego dostępu (RAT) opartego na Pythonie w sierpniu 2022 r. Według Securonix złośliwe oprogramowanie, określane jako PY#RATION, jest wyjątkowe dzięki wykorzystaniu WebSockets do komunikacji poleceń i kontroli i eksfiltracji danych.
E-maile phishingowe wykorzystane w tym ataku zawierają archiwa ZIP, które zawierają dwa pliki .LNK udające obrazy brytyjskiego prawa jazdy. Po otwarciu każdego z linków dwa pliki tekstowe są pobierane ze zdalnego serwera i przemianowane na pliki .BAT podczas działania w tle i wyświetlania fałszywego obrazu.
Ponadto inny skrypt wsadowy jest pobierany z serwera C2 w celu pobrania dodatkowych ładunków, takich jak CortanaAssistance.exe, który jest używany do próby ukrycia złośliwego oprogramowania jako pliku systemowego. Zidentyfikowano dwie wersje tego trojana (1.0 i 1.6) z prawie 1000 liniami kodu dodanymi w nowszej wersji w celu obsługi funkcji skanowania sieci i szyfrowania przy użyciu modułu Fernet. Możliwości obejmują przesyłanie plików, nagrywanie naciśnięć klawiszy, wykonywanie poleceń systemowych, wyodrębnianie haseł/plików cookie z przeglądarek internetowych, przechwytywanie danych ze schowka i sprawdzanie obecności oprogramowania antywirusowego.
Służy to również jako ścieżka wdrażania dodatkowego złośliwego oprogramowania, takiego jak narzędzie do kradzieży informacji zaprojektowane do pozyskiwania informacji z przeglądarek internetowych i portfeli kryptowalut. Chociaż pochodzenie cyberprzestępcy pozostaje nieznane, uważa się, że zamierzone cele mogą znajdować się w Wielkiej Brytanii lub Ameryce Północnej, sądząc po przynętach phishingowych.
Jakich backdoorów używa złośliwe oprogramowanie, takie jak PY#RATION, do włamania się do systemu?
Backdoory to złośliwe programy, które umożliwiają atakującym uzyskanie dostępu do systemu bez wiedzy i zgody użytkownika. Złośliwe oprogramowanie, takie jak PY#RATION, zwykle wykorzystuje backdoory w celu naruszenia bezpieczeństwa systemu poprzez wykorzystanie luk w systemie operacyjnym, aplikacjach lub protokołach sieciowych.
Typowe techniki backdoora obejmują korzystanie z narzędzi zdalnego dostępu, takich jak Remote Desktop Protocol (RDP), tworzenie ukrytych kont z uprawnieniami administratora oraz wykorzystywanie złośliwych skryptów do wykonywania poleceń na komputerze docelowym. Backdoory mogą być również wykorzystywane do omijania mechanizmów uwierzytelniania i uzyskiwania dostępu do wrażliwych danych. Ponadto backdoory mogą zostać wykorzystane do zainstalowania dodatkowego złośliwego oprogramowania w zaatakowanym systemie, umożliwiając atakującym dalsze rozszerzenie kontroli nad maszyną ofiary.
Dlaczego trojan zdalnego dostępu, taki jak PY#RATION, stanowi poważny problem bezpieczeństwa dla każdej ofiary?
Trojany zdalnego dostępu, takie jak PY#RATION, stanowią poważny problem bezpieczeństwa dla każdej ofiary, ponieważ umożliwiają atakującym uzyskanie dostępu do systemu bez wiedzy i pozwolenia użytkownika. Ten rodzaj złośliwego oprogramowania może wykorzystywać luki w systemie operacyjnym, aplikacjach lub protokołach sieciowych w celu obejścia mechanizmów uwierzytelniania i uzyskania dostępu do poufnych danych.
Ponadto backdoory mogą zostać wykorzystane do zainstalowania dodatkowego złośliwego oprogramowania w zaatakowanym systemie, umożliwiając atakującym dalsze rozszerzenie kontroli nad maszyną ofiary. Oznacza to, że osoba atakująca może potencjalnie mieć pełną kontrolę nad komputerem ofiary, w tym uzyskać dostęp do danych osobowych, takich jak hasła i dane finansowe. Co więcej, trojany zdalnego dostępu mogą być wykorzystywane do przeprowadzania rozproszonych ataków typu „odmowa usługi” (DDoS) na inne systemy lub sieci, co czyni je jeszcze bardziej niebezpiecznymi.
W związku z tym ważne jest, aby użytkownicy podejmowali kroki w celu ochrony przed tego typu zagrożeniami, używając silnych haseł i aktualizując swoje systemy za pomocą najnowszych poprawek bezpieczeństwa.