ReverseRat, пакистанский троян, нацеленный на индийские организации
Кибервойна между Индией и Пакистаном продолжается. На этот раз неизвестный пакистанский злоумышленник использовал новое вредоносное ПО под названием ReverseRat для взлома сетевой безопасности энергетических компаний Индии. Эта новая угроза часто использовалась в сочетании с другими полезными нагрузками, и кажется, что ее основная цель - кража данных и разведка. Хотя функции ReverseRat не очень продвинуты, он обладает более чем достаточной функциональностью, чтобы позволить операторам выполнять всевозможные задачи в системах, которые они взломали.
ReverseRat задействован в атаках на индийские энергетические компании
Пока что исследователям не удалось определить точные методы, которые преступники используют для доставки имплантата, но весьма вероятно, что они полагаются на вложения электронной почты. Если пользователь в конечном итоге взаимодействует с теневым электронным письмом, ему может быть предложено загрузить вложение файла или файл, размещенный на внешнем сайте. Рассматриваемый файл обычно представляет собой ZIP-архив, который содержит файл LNK или PDF. Эти два файла могут выполнять вредоносный код, если пользователь предоставит им определенные разрешения. Темы этих фальшивых документов могут быть разными, но преступники, похоже, сосредоточены на вопросах, специфичных для энергетического сектора или связанных с вакцинами COVID-19.
ReverseRat обладает множеством функций
Перед запуском ReverseRat собирает некоторую базовую информацию о взломанной сети - MAC-адрес, IP-адрес, конфигурацию оборудования и программного обеспечения, а также имя компьютера. После запуска он может выполнять несколько задач:
- Скачайте и запустите исполняемые файлы.
- Украсть файлы.
- Запустите новый процесс.
- Управляйте файловой системой.
- Список содержимого каталога.
- Просматривайте запущенные процессы и управляйте ими.
- Захватите буфер обмена.
- Сделайте скриншоты.
Троянец ReverseRat обладает способностью выполнять некоторые из своих компонентов в памяти, тем самым сводя к минимуму объем данных, который он оставляет в компрометируемых системах. Однако его атака не является полностью безфайловой, и ее легко обнаружить с помощью надежных антивирусных продуктов.