Trojan CetaRAT wykorzystuje opóźnioną aktywację w celu obejścia zabezpieczeń
CetaRAT to trojan zdalnego dostępu (RAT), którego rozwój i użytkowanie przypisuje się nieznanej grupie Advanced Persistent Threat (APT). Możliwe jednak, że stojący za nim przestępcy dzielą się narzędziami z innymi grupami, ponieważ CetaRAT był wcześniej zaangażowany w kampanię prowadzoną przez Operation SideCopy APT.
Infekcje CetaRAT zwykle następują poprzez spearphishingowe wiadomości e-mail zawierające niebezpieczny załącznik. Oczywiście plik jest zamaskowany, aby wyglądał jak nieszkodliwy dokument, faktura lub archiwum, którego ofiara nie uzna za podejrzaną. Jeśli otworzą złośliwy plik, mogą zostać poproszeni o przyznanie mu pewnych uprawnień, które doprowadzą do wykonania skryptu makr i dostarczenia ładunku CetaRAT.
Wiadomości phishingowe związane z polityką rozprzestrzeniają CetaRAT
Wiadomości phishingowe dostarczające CetaRAT zazwyczaj koncentrują się na tematach politycznych w regionie ofiary – np. stosunkach indyjsko-chińskich czy dokumentacji Ministerstwa Spraw Zagranicznych. Bardzo intrygujący jest również sposób, w jaki CetaRAT działa na zainfekowanych maszynach. Zamiast natychmiast inicjować szkodliwy moduł, zagrożenie umieści swoje pliki w katalogu Autostart , a następnie zainicjuje skrypt, który po pewnym czasie nakaże maszynie ponowne uruchomienie. To opóźnione wykonanie może umożliwić CetaRAT uniknięcie pewnych funkcji bezpieczeństwa.
Głównym celem tego trojana zdalnego dostępu jest eksfiltracja danych z komputera ofiary i przeniesienie ich na serwer atakujących. Przestępcy są również w stanie wykonać długą listę zdalnych poleceń:
- Pobierz i uruchom plik.
- Zarządzaj systemem plików.
- Zmień nazwy plików.
- Wykonaj zdalne polecenia.
- Chwyć zrzuty ekranu.
- Zarządzaj uruchomionymi procesami.
Ofiary w regionach dotkniętych atakiem CetaRAT mogą zwiększyć swoje bezpieczeństwo, zachowując czujność na podejrzane wiadomości e-mail, które zachęcają je do wyświetlenia załącznika. Ponadto najlepszym sposobem na powstrzymanie ataków złośliwego oprogramowania jest korzystanie z aktualnego rozwiązania antywirusowego.