De nouveaux types de RAT, ou chevaux de Troie d'accès à distance, apparaître plus souvent que jamais. Ces chevaux de Troie sont généralement utilisés dans des attaques ciblées contre les entreprises, les organisations et les gouvernements. L'un des derniers RAT, découvert par le Security Engineering Arbor & Équipe de réponse (ASERT) chez Arbor Networks, a lancé des campagnes malveillantes en Asie du Sud-Est. Un RAT similaire a été détectée précédemment dans une attaque contre le gouvernement du Myanmar. L'équipe de piratage derrière ces attaques a été identifié par le Groupe Talos de Cisco en tant que groupe 27.
En savoir plus sur RAT, Attaques d'entreprise et de réponse aux incidents:
Comment a été l'attaque menée?
L'arrosage des attaques de trous ont été effectués sur les sites officiels du gouvernement. Par conséquent, les utilisateurs visitant les pages pour accéder à des informations sur les prochaines élections ont été infectées par PlugX - un RAT bien connu utilisé dans plusieurs attaques à travers 2015.
Le fait que les attaques contre le gouvernement du Myanmar ont été communiqués n'a pas arrêté Groupe 27. Selon les derniers rapports de l'équipe d'intervention de Arbor (ASERT) un nouveau cheval de Troie d'accès à distance, associés aux activités du groupe a été libéré. Pendant le temps de l'analyse, la nouvelle RAT n'a pas été détectée par la plupart des éditeurs d'antivirus. Cela prouve que cette nouvelle pièce conçu pour espionnage cybernétique est assez sophistiqué. Il a été surnommé Trochilus.
Ce qui est spécifique à propos Trochilus?
Le RAT du dernier groupe 27 comprend un total de six souches de logiciels malveillants, combinées de différentes variations en fonction des données ciblées par les criminels.
experts ASERT nommé toute la collection de logiciels malveillants Sept Dagger Pointu. Cela consiste en:
- Deux versions Trochilus RAT;
- Une version du 3012 variante du 9002 RAT;
- Une version RAT EvilGrab;
- Un morceau encore inconnu de logiciels malveillants à identifier.
Les analystes de sécurité estiment que le Groupe 27 ne se souciait pas beaucoup sur le fait que leur campagne d'espionnage cybernétique initiale a été détectée. En outre, le groupe a continué d'infecter les victimes par la même entrée - le site de la Commission électorale du Myanmar.
Trochilus RAT code source téléchargé sur GitHub
Malgré que le RAT a été conçu pour exécuter dans la mémoire de la machine (éludant ainsi la détection par le logiciel AV), chercheurs ASERT a obtenu le code source de la RAT et connecté à un profil GitHub d'un utilisateur nommé 5loyd.
Sur la page GitHub, le RAT a été annoncé comme un outil d'administration à distance de Windows rapide et gratuit. Les autres éléments sont:
- Ecrit en CC +;
- Prise en charge divers protocoles de communication;
- A un module de gestionnaire de fichiers, une enveloppe à distance, un mode non-UAC;
- Capable de se désinstaller;
- Capable de télécharger des informations à partir de machines distantes;
- Capable de télécharger une exécution de fichiers.
Les chercheurs croient que 5loys ne fait pas partie du groupe 27. Plus probable, le profil de l'utilisateur a été pris en otage par le groupe et utilisé pour leurs propres fins.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: