I ricercatori di Cisco Talos hanno recentemente scoperto una nuova variante di una famiglia di trojan di accesso remoto (RAT) conosciuta come CRAT. Questa versione è composta da più funzionalità RAT, plug-in aggiuntivi e una varietà di tecniche di evasione dal rilevamento. L’attacco consiste in un malware altamente modulare che può funzionare come RAT autonomo e scaricare e attivare plug-in dannosi aggiuntivi dai suoi server C2.
Finora Cisco Talos ha scoperto più plug-in, costituiti da ransomware, acquisizione di schermate, monitoraggio degli appunti e componenti di keylogger. L’attaccante esegue un attacco che:
- Utilizza l’offuscamento e ampie tecniche di evasione per nascondere i suoi indicatori dannosi.
- Si è evoluto tra le versioni per ottenere l’efficacia del loro attacco.
- Utilizza un framework di plugin altamente modulare per infettare selettivamente gli endpoint mirati.
- Ancora più importante, distribuisce malware RAT per saccheggiare l’endpoint, seguito dall’implementazione di ransomware per estorcere denaro o bruciare l’infrastruttura di entità mirate.
L’attacco impiega anche una moltitudine di controlli anti-infezione per eludere i sistemi di rilevamento basati su sandbox.
Vettore di distribuzione
La prima versione di CRAT è nota per essere distribuita tramite HWP dannosi che si mascherano come un documento a tema COVID-19 relativo a un gruppo di supporto per la gestione delle malattie infettive della Corea del Sud. In realtà gli HWP consistevano in un exploit per la vulnerabilità CVE-2017-8291 utilizzato per attivare lo shellcode dannoso. Lo shellcode verrà quindi utilizzato per scaricare ed eseguire la versione 1 di CRAT sull’endpoint infetto.
