FlawedGrace RAT

FlawedGraceは、TA505 （またはHive0065）として追跡されている金銭的に動機付けられたサイバー犯罪者のギャングの脅威となる武器の一部である本格的なRAT（リモートアクセス脅威）の名前です。このグループは少なくとも2014年から活動しており、複数の攻撃キャンペーンが原因である最も多作なグループの1つです。 TA505のもう1つの際立った特徴は、TTP（戦術、技術、手順）とマルウェアの脅威タイプの両方に頻繁な変更を実装する傾向があることです。このグループは、LockyおよびJaff Ransomwareの脅威、TrickBotバンキング型トロイの木馬などの配布に移る前に、Dridexバンキング型トロイの木馬を配信する大規模な電子メールスパムキャンペーンを実行していることが確認されています。

FlawedGraceの詳細

FlawedGrace RATがinfosecの研究者によって初めて検出されたのは、2017年11月でした。これは、C ++プログラミング言語で記述された強力なRATです。ポート443を使用してカスタムバイナリプロトコルを介して送信されたコマンドアンドコントロールサーバーからの複数の着信コマンドを認識することができます。脅威は、追加の破損したモジュールをフェッチしてから、それらをロードして実行するように指示できます。また、選択したファイルをダウンロードして盗み出したり、パスワードなどの機密性の高いユーザー情報を収集したりすることもできます。

TA505によって実行された最新の攻撃操作では、FlawedGraceRATの更新バージョンが展開されました。変更の完全な分析はまだ進行中ですが、これまでのところ、脅威は暗号化された文字列と難読化されたAPI呼び出しを使用していることがわかりました。脅威がその構成を保存する方法に別の違いが見つかりました。初期構成またはデフォルト構成は、暗号化されたリソースとしてシステムに保存されます。その後、2つに分割されます。マップされたメモリ領域に配置された現在の構成インスタンスと、システムのレジストリに挿入された永続性メカニズムです。