Uočena je sofisticirana kampanja nazvana DCRAT, usmjerena na organizacije u Kolumbiji, koja koristi napredne tehnike izbjegavanja kako bi uspostavila upornu daljinsku kontrolu nad Windows sistemima.
Ovaj zlonamjerni softver, identifikovan kao DCRAT, predstavlja značajnu eskalaciju u cyber prijetnjama protiv latinoameričkih entiteta, primjenjujući taktike imitacije vlade kako bi prevario žrtve da pokrenu zlonamjerne korisne terete.
Kampanja napada koristi pažljivo izrađene phishing e-mail poruke koje se predstavljaju kao kolumbijske vladine agencije, navodeći primaoce da otvore ZIP privitke zaštićene lozinkom koji sadrže batch datoteke.
Ovi početni vektori služe kao ulazne tačke za složeni proces infekcije u više faza, dizajniran da zaobiđe tradicionalne sigurnosne mjere kroz sofisticirane tehnike obskurnosti, uključujući steganografiju, Base64 kodiranje i višestruke ispuste datoteka.
Analitičari Fortineta identifikovali su ovu prijetnju tokom nedavnih istraga, otkrivajući DCRAT-ove sveobuhvatne mogućnosti nadzora koje daleko nadilaze uobičajene funkcije zlonamjernog softvera.
Ovaj RAT omogućava napadačima da izvršavaju daljinske komande, upravljaju datotekama, nadziru korisničke aktivnosti, snimaju ekrane, obavljaju keylogging operacije i preuzimaju dodatne zlonamjerne korisne terete.
Njegova modularna arhitektura omogućava kreatorima prijetnji da prilagode funkcionalnost u skladu sa specifičnim ciljevima, čineći ga posebno opasnim za ciljane špijunske kampanje.
Mehanizam infekcije pokazuje izvanrednu sofisticiranost kroz svoju višeslojnu strategiju obskurnosti.
Po izvršenju, početna batch datoteka preuzima snažno obskurni VBScript sa Pastebin-sličnih usluga, koji zatim izvršava PowerShell kod sa ugrađenim Base64 varijablama.
Ovaj PowerShell skript uspostavlja vezu sa udaljenim serverima koji hostuju slikovne datoteke koje prikrivaju konačni izvršni korisni teret putem steganografskih tehnika.
Mehanizmi perzistencije zlonamjernog softvera variraju u zavisnosti od korisničkih privilegija, stvarajući zakazane zadatke sa administratorskim pristupom ili unosima u registar pod HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ za standardne korisnike.
DCRAT koristi AES256 enkripciju za zaštitu svojih postavki konfiguracije, koristeći ugrađene Base64 ključeve za dešifriranje kritičnih parametara, uključujući adrese servera za komandovanje i kontrolu (176.65.144.19:8848), nazive muteksa (DcRatMutex_qwqdanchun) i operativne zastavice.
Radi izbjegavanja otkrivanja, DCRAT implementira višestruke funkcije protiv analize, uključujući AMSI bypass tehnike koje zakrpljuju funkciju AmsiScanBuffer u memoriji, sprječavajući Windows Antimalware Scan Interface da otkrije izvršavanje zlonamjernog koda.
Zlonamjerni softver također ispituje Win32_CacheMemory uređaje kako bi identificirao okruženja virtualnih mašina, prekidajući izvršavanje ako se otkriju sandbox uslovi.
RAT održava sistemsku aktivnost sprječavanjem režima spavanja putem poziva SetThreadExecutionState sa zastavicom vrijednosti 0x80000003, osiguravajući kontinuirani rad dok uspostavlja trajne komunikacijske kanale sa svojom komandnom i kontrolnom infrastrukturom.
Ovaj sveobuhvatni pristup manipulaciji sistemom i izbjegavanju pokazuje rastuću sofisticiranost modernih RAT kampanja usmjerenih na kritičnu infrastrukturu i vladine entitete.
Informacija o napadu DCRAT objavljena je na portalu Cybersecurity News. Radi se o upozorenju koje detaljno opisuje kako ovaj zlonamjerni softver može preuzeti daljinsku kontrolu nad Windows sistemima, vršiti keylogging, snimati ekrane i krasti lične datoteke. Upozorenje je izvorno objavljeno na stranici Cybersecurity News, ali je informacija o ovoj kampanji privukla pažnju stručnjaka za sigurnost širom svijeta.
Metodologija napada, kako je opisana, uključuje korištenje phishing e-mailova koji imitiraju zvanične kolumbijske vladine agencije. Prevaranti, putem ovih e-mailova, pokušavaju navesti korisnike da otvore ZIP datoteke zaštićene lozinkom, a koje sadrže batch datoteke. Kada se ove datoteke pokrenu, one započinju višefazni proces infekcije. Ovo uključuje preuzimanje teško obskurnih VBScriptova sa platformi poput Pastebin-a, koji zatim izvršavaju PowerShell kod. Taj kod se povezuje sa udaljenim serverima gdje se, koristeći tehnike poput steganografije (sakrivanje podataka unutar slika), nalaze konačni zlonamjerni programi. Cilj prevaranata je da uđu u sistem, ostanu neotkriveni i prikupe osjetljive podatke.
Primjer napada je kampanja koja je usmjerena na kolumbijske organizacije, gdje se koristi imitacija vladinih agencija kao mamac. Korisnicima se šalju e-mailovi s pozivom da otvore privitke koji navodno sadrže važne vladine dokumente ili informacije. Kada korisnik podlegne ovoj prevari i otvori datoteku, napadači dobijaju pristup sistemu. Ovo im omogućava da snimaju pritiske na tipkovnici, prave snimke ekrana i na kraju ukradu lične datoteke, čime napad postaje u potpunosti prikriven i opasan. Upozorenje naglašava da je DCRAT sposoban za širok spektar špijunaže i preuzimanja kontrole.
