Bbabo NET

Наука и Технологија Вести

Нове сајбер претње – стручњаци Ф.А.Ц.Ц.Т

Крајем 2023. године, Ф.А.Ц.Ц.Т. Тхреат Интеллигенце је открио неколико пхисхинг порука е-поште од криминалне групе која користи даљински тројанац ДаркЦристал РАТ за напад на руске компаније. Међу њиховим метама биле су пијаце, малопродајни ланци, банке, ИТ компаније, телекомуникационе и грађевинске компаније.

ДаркЦристал РАТ је тројанац са даљинским приступом који је почео у продаји 2019. „Ратник“ може да прави снимке екрана, пресреће притиске тастера и краде различите типове података из система, укључујући податке о банковним картицама, колачиће, лозинке, историју претраживача, садржај клипборда и Телеграм, Стеам, Дисцорд, ФилеЗилла налоге. Сам малвер је написан у Ц# и има модуларну структуру.

Ако успеју, нападачи би могли да добију приступ интерним финансијским и правним документима компанија, базама података клијената, налозима из сервиса е-поште и инстант мессенгер-а. Међутим, Ф.А.Ц.Ц.Т. систем заштите од сложених и непознатих сајбер претњи. Управљани КСДР је пресрео и блокирао све пхисхинг мејлове послате на адресе е-поште наших клијената.

Стручњаци су анализирали садржај мејлова и открили нови тројанац за даљински приступ - РАДКС. Антон Баранов, аналитичар Тхреат Интеллигенце у Ф.А.Ц.Ц.Т.-у, рекао нам је више о томе у новом блогу. и Дмитриј Купин, шеф одељења за динамичку анализу малвера у Ф.А.Ц.Ц.Т.

Да вам укратко испричамо како су се догађаји развијали. У новембру 2023. године, нападачи су послали пхисхинг мејлове са темом „Плаћање на серверу“ са сергковалев@б7с[.]ру. Они су садржали две врсте прилога: „екран за плаћање за сервер.зип“ или „екран за плаћање за сервер.пдф.зип“. Прва архива је садржала датотеку „сервер паимент сцреен.сцр“, која ће инсталирати ДаркЦристал РАТ тројанац за даљински приступ на рачунар жртве. У овом случају, командни центар (Ц2) ДаркЦристал РАТ-а је ИП адреса 195.20.16[.]116.

Друга архива је садржала учитавач „сервер паимент сцреен.пдф.еке“, који је инсталирао малвер који нам је раније био непознат. Током анализе дали смо му име РАДКС РАТ.

Анализирајући сличне узорке који припадају овој породици пронађене на ВирусТотал-у, успели смо да пронађемо АСЦИИ арт “РАД-Кс” у једном од њих:

Пронађен је и РАДКС формулар за овлашћење:

Стручњаци за обавештајне претње пронашли су породицу малвера, под називом РАДКС РАТ, на продају на подземном форуму. Овај „ратник“ је у продаји од октобра 2023. године и рекламира се на следећи начин: „најбољи СОФТВЕР за рад са даљинским приступом и прикупљање тајних информација“.

Иначе, нападачи такође позиционирају РАДКС као „најјефтинији РАТ“ и нуде га на новогодишњим снижењима уз програм крадљиваца. Тако седмични најам РАДКС-а са попустима кошта само 175 рубаља месечно, а тромесечни 475 рубаља.

Техничка анализа РАДКС Тројанца, укључујући индикаторе компромиса и потпуни слом МИТЕР АТТ&ЦК - у нашем блогу.

Нове сајбер претње – стручњаци Ф.А.Ц.Ц.Т