CetaRAT 木马使用延迟激活来逃避安全

CetaRAT 是一种远程访问木马 (RAT)，其开发和使用归因于未知的高级持续威胁 (APT) 组。但是，其背后的犯罪分子可能正在与其他团体共享工具，因为 CetaRAT 之前参与了由 Operation SideCopy APT 运营的活动。

CetaRAT 感染通常通过包含危险附件的鱼叉式网络钓鱼电子邮件发生。当然，文件被伪装成受害者不会认为可疑的无害文件、发票或档案。如果他们打开恶意文件，可能会提示他们授予某些权限，这将导致宏脚本的执行和 CetaRAT 负载的交付。

与政治相关的网络钓鱼信息传播 CetaRAT

传递 CetaRAT 的网络钓鱼信息通常侧重于受害者所在地区的政治相关话题，例如印中关系或外交部文件。 CetaRAT 在受感染机器上运行的方式也很有趣。威胁不会立即初始化恶意模块，而是将其文件放在Startup目录中，然后启动脚本命令机器在一段时间后重新启动。这种延迟执行可能使 CetaRAT 能够避免某些安全功能。

此远程访问木马的主要重点是从受害者机器中窃取数据，并将其传输到攻击者的服务器。犯罪分子还能够执行一长串远程命令：

• 下载并执行一个文件。
• 管理文件系统。
• 重命名文件。
• 执行远程命令。
• 抓取屏幕截图。
• 管理正在运行的进程。

受 CetaRAT 攻击影响地区的受害者可以通过对促使他们查看附件的可疑电子邮件保持警惕来提高他们的安全性。除此之外，使用最新的防病毒解决方案是阻止恶意软件攻击的最佳方法。