ΑρχικήsecurityΤο GlassRAT zero-detection Trojan στοχεύει Κινέζους υπηκόους

Το GlassRAT zero-detection Trojan στοχεύει Κινέζους υπηκόους

Ένα προηγουμένως μη ανιχνεύσιμο εργαλείο απομακρυσμένης διαχείρισης αποκαλύφθηκε και το όνομα αυτού “GlassRAT.”

Το GlassRAT zero-detection Trojan στοχεύει Κινέζους υπηκόους

Το zero-detection Trojan φαίνεται να λειτουργεί αθόρυβα εδώ και τρία χρόνια, σύμφωνα με την RSA, και τα στοιχεία δείχνουν ότι χρησιμοποιείται ως μέρος μιας πολύ στοχευμένης εκστρατείας, που έχει ως στόχο Κινέζους υπηκόους σε εμπορικούς οργανισμούς.

Το GlassRAT έχει πολλά από τα αποκαλυπτικά σημάδια ενός καλού, πολύ αποτελεσματικού, κακόβουλου λογισμικού. Το dropper του υπογράφει ένα μολυσμένο πιστοποιητικό από έναν αξιόπιστο και γνωστό εκδότη. Στη συνέχεια, διαγράφεται μόλις επιτυχώς παραδώσει  του payload του. Μόλις εγκατασταθεί, το κακόβουλο DLL αρχείο παραμένει κάτω από τα ραντάρ των antivirus.

Αξίζει να σημειωθεί ότι, η δομή του command and control του GlassRAT έχει εκτεθεί σαν μια σύντομη επικάλυψη με CnC που είχε προσδιοριστεί στις εκστρατείες που σχετίζονται με malware που αναφέρθηκαν το 2012, οι ​​οποίες είχαν ως στόχο την κυβέρνηση και στρατιωτικές οργανώσεις στην περιοχή του Ειρηνικού.

Συγκεκριμένα, το GlassRAT συνδέεται με το Mirage malware CnC hosting, το οποίο με τη σειρά του συνδέεται με τα Magicfire, PlugX και Mirage malware που είχαν ως στόχο τον στρατό των Φιλιππίνων και την κυβέρνηση της Μογγολίας.

Επιπλέον, το χρονικό διάστημα της C2 επικάλυψης ήταν σχετικά μικρό, γεγονός που υποδηλώνει ότι μπορεί να είχε συμβεί κατά λάθος, όπως ακούστηκε σε μια σύντομη ανάλυση στην επιχειρησιακή ασφάλεια. Ή, ίσως δευτερεύοντα τμήματα ενός πολύ μεγαλύτερου οργανισμού με κοινές υποδομές και προγραμματιστές να «τρέχουν» αυτές τις εκστρατείες.

Πολύ λίγες λεπτομέρειες είναι γνωστές, προς το παρόν. Ωστόσο, οι RSA ερευνητές σημείωσαν ότι η ανίχνευση της υποδομής και τη συμπεριφορά που προκύπτει από αυτά τα εργαλεία είναι ίσως πιο σημαντικά, όταν η προληπτική άμυνα συνεχώς αποτυγχάνει.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS