- تقوم مجموعة القرصنة "RATicate" بتوزيع حمولات مختلفة عبر مثبتات NIST.
- استخدمت المجموعة ما لا يقل عن ثمانية حمولات مختلفة في خمس موجات هجوم وقعت مؤخرا.
- الإسناد هو نتيجة طرق التعبئة المشتركة والبنية التحتية المتداخلة.
سجلت خمس حملات منفصلة تم تسجيلها بين نوفمبر 2019 ويناير 2020 أن يعتقد الباحثون أن مجموعة الجهات الفاعلة في التهديد التي يطلق عليها اسم "RATicate" تعمل في التجسس السيبراني. يقوم القراصنة بتوزيع RATs (أدوات الإدارة عن بعد) في الأمواج – و أوجه التشابه بين الحمولات، بالإضافة إلى تداخل البنية التحتية C&C ، قم بتأكيد الأصل وإعطاء النتائج للإسناد. كانت أهداف هذه الحملات بشكل رئيسي الشركات الصناعية في الشرق الأوسط وأوروبا وكوريا الجنوبية. قد يعني هذا أن RATicate هي مجموعة كورية شمالية أو روسية أو حتى صينية ، على الرغم من أن هذا لا يزال غير معروف تمامًا في الوقت الحالي.
يستخدم الممثلون مثبتات NSIS (Nullsoft Scriptable Install System) ، والتي تمكنهم من تجميع البرامج الضارة التي تحتوي على هندسة المكونات الإضافية قادرة على التواصل مع Windows مكونات نظام التشغيل. أثناء نشرها ، يتم تشغيل المكونات الإضافية التي تأتي مع الحمولة Windows ملفات DLL ، بينما يقوم المثبت المستخدم بإسقاط كمية كبيرة من "الملفات غير المرغوب فيها" التي تهدف إلى إخفاء البرامج الضارة الفعلية عن طريق إنشاء "ضوضاء". تتضمن إمكانيات المكونات الإضافية التي يتم استخدامها بشكل عام بواسطة RATicate الوظائف التالية:
- عمليات القتل
- تنفيذ البرامج القائمة على سطر الأوامر
- إلغاء ضغط الملفات ديناميكيًا
- تحميل DLL واستدعاء الصادرات الخاصة به
يتم إسقاط الملفات التالية في المجلد "٪ TEMP٪ / careers / katalog / _mem_bin / page1 / W3SVC2". من بين هذه ، فإن الاثنين فقط اللذان يحملان أي قيمة للبرنامج الضار هما "aventailes.dll" (وهو المحمل الأولي) و "Cluck" (الذي يحتوي على البيانات المشفرة.
يعتقد الباحثون أن محمل aventailes.DLL هو محمل مخصص تم تطويره بواسطة RATicate بأنفسهم. عند النشر ، يقوم DLL الخبيث بتصدير كود القشرة المشفر. ثم يتم تحليل ملف Cluck حتى يتم فك التشفير باستخدام مفتاح xor. في الرسم البياني التالي ، يشرح سوفوس كيفية إجراء عملية العدوى.
يؤدي ما سبق إلى سلسلة من عمليات فك التشفير و "القفزات" ، والتي تأخذنا إلى Loader2 ، والذي يتم تفصيل مؤشر التنفيذ الخاص به أدناه.
قامت RATicate بنشر مجموعة كبيرة من الحمولات ، بما في ذلك Betabot و Lokibot و Netwire و Formbook و Bladabindi و Blackrat و Remcos و AgentTesla.
من الأدوات المستخدمة في جميع الحالات المذكورة أعلاه ، من الواضح أن المجموعة كانت تحاول الوصول إلى الأنظمة المستهدفة والتحكم فيها. للحفاظ على سلامتك من هذه التهديدات ، يجب عليك تجنب تنزيل وفتح المرفقات التي تصل إلى جهاز الكمبيوتر الخاص بك عبر رسائل البريد الإلكتروني غير المرغوب فيها ، حيث قد تحتوي هذه على مثبت NSIS مُثري. يستهدف هؤلاء الفاعلون المنظمات والشركات ، وهذا هو السبب في ضرورة وجود أنظمة أمان البريد الإلكتروني المتقدمة.