I ricercatori di Cisco Talos hanno recentemente scoperto una nuova variante di una famiglia di trojan di accesso remoto (RAT) conosciuta come CRAT. Questa versione è composta da più funzionalità RAT, plug-in aggiuntivi e una varietà di tecniche di evasione dal rilevamento. L’attacco consiste in un malware altamente modulare che può funzionare come RAT autonomo e scaricare e attivare plug-in dannosi aggiuntivi dai suoi server C2.

Finora Cisco Talos ha scoperto più plug-in, costituiti da ransomware, acquisizione di schermate, monitoraggio degli appunti e componenti di keylogger. L’attaccante esegue un attacco che:

  • Utilizza l’offuscamento e ampie tecniche di evasione per nascondere i suoi indicatori dannosi.
  • Si è evoluto tra le versioni per ottenere l’efficacia del loro attacco.
  • Utilizza un framework di plugin altamente modulare per infettare selettivamente gli endpoint mirati.
  • Ancora più importante, distribuisce malware RAT per saccheggiare l’endpoint, seguito dall’implementazione di ransomware per estorcere denaro o bruciare l’infrastruttura di entità mirate.

L’attacco impiega anche una moltitudine di controlli anti-infezione per eludere i sistemi di rilevamento basati su sandbox.

Vettore di distribuzione
La prima versione di CRAT è nota per essere distribuita tramite HWP dannosi che si mascherano come un documento a tema COVID-19 relativo a un gruppo di supporto per la gestione delle malattie infettive della Corea del Sud. In realtà gli HWP consistevano in un exploit per la vulnerabilità CVE-2017-8291 utilizzato per attivare lo shellcode dannoso. Lo shellcode verrà quindi utilizzato per scaricare ed eseguire la versione 1 di CRAT sull’endpoint infetto.

 

https://blog.talosintelligence.com/2020/11/crat-and-plugins.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+feedburner%2FTalos+%28Talos%E2%84%A2+Blog%29

Twitter
Visit Us
LinkedIn
Share
YOUTUBE
YOUTUBE