CetaRAT

CetaRATは、C＃プログラミング言語を使用して作成されたリモートアクセス型トロイの木馬（RAT）の脅威です。その主な機能は、スパイ活動を実行して、侵害されたマシンから機密データを収集して盗み出すことです。この脅威は、インドの防衛軍と軍隊の要員を標的とした攻撃キャンペーンである、現在進行中のOperation SideCopyに配備されたときに、infosecコミュニティによって最初に気づかれました。それ以来、CetaRATはその範囲を拡大し、インドの政府機関に対する追加の攻撃に活用されています。

アタックチェーン

CetaRATの感染チェーンは、武器化された添付ファイルを含むスピアフィッシングメールの配布から始まります。破損した添付ファイルは、リモートURLからHTAファイルをフェッチするZIPアーカイブの形式をとることがあります。 HTAファイルを実行すると、CetaRATの脅威が被害者のマシンに配信されます。これまでに2つの異なる方法が観察されています。

最初のファイルでは、HTAファイルが開始された後、「C：\ ProgramData」の場所に配置されたJavaScriptファイルの作成と実行に進みます。スクリプトは、CetaRATペイロードがシステムの起動場所にドロップされているという事実から彼らをそらすために、疑いを持たない被害者にデコイ文書を表示する責任があります。おとり文書には通常、この地域、特にインドに関する関連トピックに関する情報が記載されています。

2番目の方法では、侵害されたデバイスのCドライブ上のランダムな名前のフォルダーにドロップされたバッチファイルの作成と実行を確認します。次のステップは、 HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunにCetaRATのペイロードを指すレジストリエントリを追加することです。この場合、脅威の実行可能ファイルは「％AppData / Roaming％」フォルダーにあります。

収集されたデータ

CetaRATがその主な機能をアクティブ化する前に、脅威は実行中のすべてのAVソリューションのスキャンを実行し、取得した詳細をCommand-an-Control（C2、C＆C）サーバーに送信します。その後、コンピュータ名、IPアドレス、メモリの詳細、プロセッサ情報、OSデータなど、さまざまなシステムの詳細の収集を開始します。

侵害されたデバイスに関する初期情報が送信されると、CetaRATは追加のコマンドを待ちます。攻撃者は、追加のペイロードをフェッチして実行し、被害者のファイルシステムを操作し、任意のスクリーンショットを撮り、任意のコマンドやその他の侵入的なアクションを実行するようにRATに指示できます。収集されたすべてのデータは、C2サーバーに送信される前にRC4アルゴリズムで暗号化されます。