Nieuwe vormen van RAT, of externe toegang Trojaanse paarden, blijken vaker dan ooit tevoren. Dergelijke Trojaanse paarden worden typisch gebruikt in gerichte aanvallen tegen corporaties, organisaties en overheden. Een van de nieuwste RATs, ontdekt door de Arbor beveiligingstechniek & Response Team (ASERT) bij Arbor Networks, is kwaadaardige campagnes gestart in Zuid-Oost-Azië. Een soortgelijke RAT eerder werd ontdekt bij een aanval tegen de regering van Myanmar. Het hacken team achter die aanslagen is geïdentificeerd door Cisco Talos Group als Group 27.
Meer informatie over RAT, Collectieve Attacks en Incident Response:
Hoe werd de aanval uitgevoerd?
Drinkplaats aanvallen werden uitgevoerd op de officiële websites van de overheid. Dientengevolge, gebruikers een bezoek aan de pagina's om toegang te krijgen tot informatie over de komende verkiezingen waren geïnfecteerd met PlugX - een bekende RAT overal gebruikt in meerdere aanvallen 2015.
Het feit dat de aanvallen tegen de regering van Myanmar zijn niet bekendgemaakt is niet gestopt Group 27. Volgens de laatste rapporten van Arbor's Response Team (ASERT) Een nieuw toegangspunt Trojan op afstand, in verband met de activiteiten van de groep is vrijgegeven. In de tijd van de analyse, de nieuwe RAT bleef onopgemerkt door de meeste leveranciers van antivirusprogramma's. Dit bewijst dat dit nieuwe stuk gemaakt voor cyber spionage is heel geraffineerd. Het is wel Trochilus.
Wat is specifiek over Trochilus?
De laatste groep 27's RAT omvat een totaal van zes malware stammen, gecombineerd in verschillende varianten overeenkomstig de beoogde door de criminelen data.
ASERT experts uitgeroepen tot de hele collectie van malware de zeven Gerichte Dagger. Het bestaat uit:
- Twee Trochilus RAT versies;
- Een versie van de 3012 variant van de 9002 RAT;
- Een EvilGrab RAT versie;
- Een onbekende stukje malware nog worden geïdentificeerd.
Beveiliging analisten zijn van mening dat de Groep 27 niet veel zorg over het feit dat hun aanvankelijke cyber spionage campagne werd gedetecteerd. Bovendien, de groep bleef infecteren slachtoffers via diezelfde ingang - de website Myanmar kiescommissie.
Trochilus RAT broncode geupload op GitHub
Ondanks dat de RAT ontworpen te voeren in het geheugen van de machine (aldus ontwijken detectie door software AV), ASERT onderzoekers verkregen de RAT broncode en aangesloten op een GitHub profiel van een gebruiker met de naam 5loyd.
Op de GitHub pagina, De rat is geadverteerd als een snel en gratis Windows beheertool afstandsbediening. Andere details zijn:
- Geschreven in CC +;
- Ondersteunt verschillende communicatieprotocollen;
- Heeft een file manager module, a remote shell, een niet-UAC modus;
- In staat om zelf te verwijderen;
- In staat om informatie van externe computers te uploaden;
- In staat om te downloaden van een uitvoeren van bestanden.
Onderzoekers geloven dat 5loys maakt geen deel uit van de Groep 27. Waarschijnlijker, profiel van de gebruiker is gekaapt door de groep en worden gebruikt voor hun eigen doeleinden.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: