CetaRAT Trojan använder fördröjd aktivering för att undvika säkerhet

CetaRAT är en Remote Access Trojan (RAT) vars utveckling och användning tillskrivs en okänd Advanced Persistent Threat (APT) grupp. Det är dock möjligt att brottslingarna bakom det kan dela verktyg med andra grupper, eftersom CetaRAT tidigare var involverad i en kampanj som drivs av Operation SideCopy APT.

CetaRAT-infektioner uppstår vanligtvis genom spearphishing-e-postmeddelanden som innehåller en farlig bilaga. Naturligtvis är filen förklädd för att se ut som en ofarlig handling, faktura eller arkiv som offret inte kommer att bedöma som misstänkt. Om de öppnar den skadliga filen kan de bli uppmanade att ge den vissa behörigheter som kommer att leda till exekvering av ett makroskript och leverans av CetaRAT-nyttolasten.

Politikrelaterade nätfiskemeddelanden Sprid CetaRAT

Nätfiskemeddelanden som levererar CetaRAT fokuserar vanligtvis på politiska ämnen i offrets region – t.ex. förbindelserna mellan Indien och Kina eller dokumentation från utrikesministeriet. Sättet som CetaRAT körs på infekterade maskiner är också väldigt spännande. Istället för att initiera den skadliga modulen omedelbart, kommer hotet att släppa sina filer i startkatalogen och sedan initiera ett skript för att beordra maskinen att starta om efter en tid. Denna fördröjda exekvering kan göra det möjligt för CetaRAT att undvika vissa säkerhetsfunktioner.

Det primära fokuset för denna fjärråtkomsttrojan är att exfiltrera data från offrets dator och överföra den till angriparnas server. Brottslingarna kan också utföra en lång lista med fjärrkommandon:

• Ladda ner och kör en fil.
• Hantera filsystemet.
• Byt namn på filer.
• Utför fjärrkommandon.
• Ta skärmdumpar.
• Hantera pågående processer.

Offer i de regioner som drabbats av CetaRAT-attacken kan förbättra sin säkerhet genom att vara vaksamma för misstänkta e-postmeddelanden som uppmanar dem att se en bilaga. Utöver detta är att använda en uppdaterad antiviruslösning det bästa sättet att avskräcka skadliga attacker.