Novi trojanac za daljinski pristup (RAT) pod nazivom Sakura objavljen je na GitHubu. Zbog svojih sofisticiranih mogućnosti protiv detekcije i sveobuhvatnih funkcija kontrole sistema, Sakura izaziva značajnu zabrinutost u zajednici sajber sigurnosti.
Maliciozni softver, identifikovan u skladištu koje je navodno kreirao korisnik pod nazivom “Haerkasmisk”, napadačima pruža opsežan alat koji može izbjeći moderna antivirusna rješenja i rješenja za otkrivanje i odgovor krajnjih tačaka (EDR) kroz više tehnika zamagljivanja sličnih onima koje smo vidjeli u prethodno dokumentovanim porodicama malicioznog softvera.
Napredne mogućnosti i tehnike izbjegavanja
Sakura RAT implementira nekoliko naprednih mogućnosti koje ga čine posebno opasnim.
Prema Cyberfeeddigest objavi objavljenoj na X-u, RAT uključuje skrivenu funkcionalnost pretraživača koja omogućava napadačima da provode web aktivnosti kroz žrtvinu mašinu bez otkrivanja, i mogućnost Hidden Virtual Network Computing (HVNC) koja stvara nevidljivu desktop sesiju za skrivenu daljinsku kontrolu.
Maliciozni softver navodno koristi tehnike slične onima koje su primijećene u prethodnim RAT porodicama, uključujući ubrizgavanje procesa, reflektirajuću DLL injekciju i jednobajtno XOR kodiranje za zamagljivanje mrežnih komunikacija i ugrađenih nizova, što čini detekciju znatno težim za sigurnosna rješenja.
Tehnički, čini se da Sakura kombinuje elemente iz različitih postojećih malware okvira.
Poput prethodno dokumentovane porodice malicioznog softvera Sakula koju su identifikovali istraživači Dell SecureWorksa, vjerovatno koristi HTTP GET i POST zahtjeve za komandnu i kontrolnu (C2) komunikaciju.
Alat navodno održava postojanost kroz Windows ključeve za pokretanje registra i može se konfigurisati kao usluga, slično drugim naprednim RAT-ovima.
Njegova mogućnost više sesija omogućava napadačima da istovremeno kontrolišu brojne kompromitovane sisteme preko centralizovane kontrolne table.
Istraživači sigurnosti su primijetili da maliciozni softver može iskoristiti ranjivost CVE-2014-0322 ili slične eksploatacije kao početne vektore infekcije, iako specifični mehanizmi isporuke ostaju pod istragom.
Ovo izdanje pridružuje se rastućem ekosistemu javno dostupnih antivirusnih alata za izbjegavanje. Prema istraživačima koji istražuju GitHubovu temu „izbjegavanja antivirusa“, brojni okviri poput Veil, Chimera i Process Herpaderping su otvoreno dostupni, što doprinosi proliferaciji malicioznog softvera koji se izbjegava.
Stručnjaci kažu da dostupnost ovih alata dramatično smanjuje barijeru za ulazak potencijalnih napadača. Ono što je ranije zahtijevalo značajnu stručnost sada se može postići pomoću okvira za preuzimanje.
Preporuke za zaštitu
Stručnjaci za sigurnost preporučuju organizacijama da sprovode sljedeće zaštitne mjere:
- Uvedite napredna EDR rješenja sa mogućnostima analize ponašanja.
- Implementirajte bijelu listu aplikacija kako biste spriječili neovlašteno izvršavanje koda.
- Redovno ažurirajte sigurnosni softver kako biste uključili najnovije potpise za otkrivanje.
- Onemogućite makroe u Microsoft Office aplikacijama osim ako nije posebno potrebno.
- Obrazujte zaposlene o phishing napadima, jer e-pošta ostaje primarni način isporuke.
Istraživači nastavljaju da analiziraju Sakura RAT kod i mogućnosti. Organizacijama se savjetuje da prate sumnjive mrežne komunikacije, neočekivane izmjene registra i neovlašćeno kreiranje procesa kao potencijalne pokazatelje kompromisa.
Izvor: CyberSecurityNews