الأخبار التكنولوجية والاستعراضات والنصائح!

تستخدم مجموعة "RATicate" ملفات NIST لإسقاط مجموعة كبيرة من الحمولات

  • تقوم مجموعة القرصنة "RATicate" بتوزيع حمولات مختلفة عبر مثبتات NIST.
  • استخدمت المجموعة ما لا يقل عن ثمانية حمولات مختلفة في خمس موجات هجوم وقعت مؤخرا.
  • الإسناد هو نتيجة طرق التعبئة المشتركة والبنية التحتية المتداخلة.

سجلت خمس حملات منفصلة تم تسجيلها بين نوفمبر 2019 ويناير 2020 أن يعتقد الباحثون أن مجموعة الجهات الفاعلة في التهديد التي يطلق عليها اسم "RATicate" تعمل في التجسس السيبراني. يقوم القراصنة بتوزيع RATs (أدوات الإدارة عن بعد) في الأمواج – و أوجه التشابه بين الحمولات، بالإضافة إلى تداخل البنية التحتية C&C ، قم بتأكيد الأصل وإعطاء النتائج للإسناد. كانت أهداف هذه الحملات بشكل رئيسي الشركات الصناعية في الشرق الأوسط وأوروبا وكوريا الجنوبية. قد يعني هذا أن RATicate هي مجموعة كورية شمالية أو روسية أو حتى صينية ، على الرغم من أن هذا لا يزال غير معروف تمامًا في الوقت الحالي.

التواريخ "width =" 696 "height =" 323 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/05/dates-e1589529090822.jpg 696w، https: // cdn. technadu.com/wp-content/uploads/2020/05/dates-e1589529090822-300x139.jpg 300 واط ، https://cdn.technadu.com/wp-content/uploads/2020/05/dates-e1589529090822-200x93.jpg 200 واط "أحجام =" (الحد الأقصى للعرض: 696 بكسل) 100 فولت / 696 بكسلالمصدر: سوفوس

يستخدم الممثلون مثبتات NSIS (Nullsoft Scriptable Install System) ، والتي تمكنهم من تجميع البرامج الضارة التي تحتوي على هندسة المكونات الإضافية قادرة على التواصل مع Windows مكونات نظام التشغيل. أثناء نشرها ، يتم تشغيل المكونات الإضافية التي تأتي مع الحمولة Windows ملفات DLL ، بينما يقوم المثبت المستخدم بإسقاط كمية كبيرة من "الملفات غير المرغوب فيها" التي تهدف إلى إخفاء البرامج الضارة الفعلية عن طريق إنشاء "ضوضاء". تتضمن إمكانيات المكونات الإضافية التي يتم استخدامها بشكل عام بواسطة RATicate الوظائف التالية:

  • عمليات القتل
  • تنفيذ البرامج القائمة على سطر الأوامر
  • إلغاء ضغط الملفات ديناميكيًا
  • تحميل DLL واستدعاء الصادرات الخاصة به

يتم إسقاط الملفات التالية في المجلد "٪ TEMP٪ / careers / katalog / _mem_bin / page1 / W3SVC2". من بين هذه ، فإن الاثنين فقط اللذان يحملان أي قيمة للبرنامج الضار هما "aventailes.dll" (وهو المحمل الأولي) و "Cluck" (الذي يحتوي على البيانات المشفرة.

files_dropped "width =" 987 "height =" 575 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/05/files_dropped.png 987w، https: //cdn.technadu. com / wp-content / uploads / 2020/05 / files_dropped-300x175.png 300w، https://cdn.technadu.com/wp-content/uploads/2020/05/files_dropped-768x447.png 768w، https: // cdn.technadu.com/wp-content/uploads/2020/05/files_dropped-200x117.png 200w، https://cdn.technadu.com/wp-content/uploads/2020/05/files_dropped-696x405.png 696w، https://cdn.technadu.com/wp-content/uploads/2020/05/files_dropped-721x420.png 721w "الأحجام =" (الحد الأقصى للعرض: 987 بكسل) 100 فولت / 987 بكسلالمصدر: سوفوس

يعتقد الباحثون أن محمل aventailes.DLL هو محمل مخصص تم تطويره بواسطة RATicate بأنفسهم. عند النشر ، يقوم DLL الخبيث بتصدير كود القشرة المشفر. ثم يتم تحليل ملف Cluck حتى يتم فك التشفير باستخدام مفتاح xor. في الرسم البياني التالي ، يشرح سوفوس كيفية إجراء عملية العدوى.

العملية "width =" 768 "height =" 485 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/05/process.png 768w، https: //cdn.technadu. com / wp-content / uploads / 2020/05 / process-300x189.png 300w، https://cdn.technadu.com/wp-content/uploads/2020/05/process-200x126.png 200w، https: // cdn.technadu.com/wp-content/uploads/2020/05/process-696x440.png 696w، https://cdn.technadu.com/wp-content/uploads/2020/05/process-665x420.png 665w " الأحجام = "(الحد الأقصى للعرض: 768 بكسل) 100 فولت / 768 بكسلالمصدر: سوفوس

يؤدي ما سبق إلى سلسلة من عمليات فك التشفير و "القفزات" ، والتي تأخذنا إلى Loader2 ، والذي يتم تفصيل مؤشر التنفيذ الخاص به أدناه.

process_2 "width =" 768 "height =" 537 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/05/process_2.png 768w، https: //cdn.technadu. com / wp-content / uploads / 2020/05 / process_2-300x210.png 300w، https://cdn.technadu.com/wp-content/uploads/2020/05/process_2-200x140.png 200w، https: // cdn.technadu.com/wp-content/uploads/2020/05/process_2-100x70.png 100w، https://cdn.technadu.com/wp-content/uploads/2020/05/process_2-696x487.png 696w، https://cdn.technadu.com/wp-content/uploads/2020/05/process_2-601x420.png 601w "أحجام =" (الحد الأقصى للعرض: 768 بكسل) 100 فولت / 768 بكسلالمصدر: سوفوس

قامت RATicate بنشر مجموعة كبيرة من الحمولات ، بما في ذلك Betabot و Lokibot و Netwire و Formbook و Bladabindi و Blackrat و Remcos و AgentTesla.

حمولات "width =" 720 "height =" 405 "data-srcset =" https://cdn.technadu.com/wp-content/uploads/2020/05/payloads.jpg 720w، https: //cdn.technadu. com / wp-content / uploads / 2020/05 / payloads-300x169.jpg 300 واط ، https://cdn.technadu.com/wp-content/uploads/2020/05/payloads-200x113.jpg 200 واط ، https: // cdn.technadu.com/wp-content/uploads/2020/05/payloads-218x122.jpg 218w ، https://cdn.technadu.com/wp-content/uploads/2020/05/payloads-265x149.jpg 265w ، https://cdn.technadu.com/wp-content/uploads/2020/05/payloads-324x182.jpg 324w ، https://cdn.technadu.com/wp-content/uploads/2020/05/payloads-696x392 .jpg 696w "أحجام =" (الحد الأقصى للعرض: 720 بكسل) 100vw ، 720 بكسلالمصدر: سوفوس

من الأدوات المستخدمة في جميع الحالات المذكورة أعلاه ، من الواضح أن المجموعة كانت تحاول الوصول إلى الأنظمة المستهدفة والتحكم فيها. للحفاظ على سلامتك من هذه التهديدات ، يجب عليك تجنب تنزيل وفتح المرفقات التي تصل إلى جهاز الكمبيوتر الخاص بك عبر رسائل البريد الإلكتروني غير المرغوب فيها ، حيث قد تحتوي هذه على مثبت NSIS مُثري. يستهدف هؤلاء الفاعلون المنظمات والشركات ، وهذا هو السبب في ضرورة وجود أنظمة أمان البريد الإلكتروني المتقدمة.