Computer Security Phishing Campaign Spreads the Feature-Packed Babylon RAT

Phishing Campaign Spreads the Feature-Packed Babylon RAT

バビロンラトフィッシングキャンペーンの拡大 Cofenseのアナリストが観察したように、Babylon Remote Administration Tool(RAT)は、マルウェアを拡散させる新しいフィッシングキャンペーンを行っています。 Babylon RATは機能満載のオープンソースの脅威で、侵入したネットワークを妨害する可能性があります。それが持っている莫大な汎用性により、 Babylon RATは攻撃者の特定の目的に合わせて微調整することができます。

Babylon RATにはたくさんのツールがあります

Babylon RATは、実行されると、マルウェアのバイナリにハードコードされているCommand&Control(C&C)サーバーへの接続を確立します。ほとんどの場合、動的ドメインが使用されているため、サーバーとの通信を中断することなくIPアドレスを変更できます。接続はエンコードされ、ユーザー名、PC名、IPアドレス、国、オペレーティングシステム(OS)、さらに現在アクティブなプログラムウィンドウなど、感染したホストに関する個人データを転送します。この情報は5秒ごとに更新され、Babylon RATの管理パネルで確認することができます。

検出の可能性を下げるために、Babylon RATに感染したシステムはSOCKSプロキシに変わることができます。つまり、ネットワークを介して横方向に伝播した後、すべての侵入先のコンピュータは、作成されたSOCKSプロキシをC&Cサーバーへの送信データトラフィックのゲートウェイとして使用できます。さらに、この方法により、電子メールとURLのフィルタリングを回避できます。

Babylon RATに統合されているもう一つの機能はパスワード回復です。マルウェアが開始されると、Webブラウザを含むインストールされているアプリケーションを通過し、それらを認証情報として取得します。パスワード回復モジュールはOSのユーザー資格情報を盗むことはしませんが、Cofenseは、ユーザー名にアクセスしてわずか2〜3個の取得したパスワードを使用すると、攻撃者がOS資格情報を侵害する可能性があると推測します。攻撃を受けた組織のために。

Babylon RATがDoS攻撃を仕掛ける

別のモジュールがDoS(サービス拒否)攻撃を開始します。 DoSは特定のホスト名またはIP範囲をターゲットにすることができますが、スレッドやソケットなどのパラメータは1つまたは複数のプロトコル用に調整できます。いずれかのコンピュータシステムに送信されたDoSコマンドは、残りの感染したホストに転送される可能性があり、その結果、より大きなDDoS(Distributed Denial of Service)攻撃が発生します。

その多様な機能により、Babylon RATは、感染を管理しているあらゆる組織に壊滅的な影響を及ぼす可能性があります。適切なフィッシング対策技術を採用し、脅威を予防的に検出して阻止するための対策を講じることは、組織のネットワークインフラストラクチャの奥深くに潜んでいるマルウェアに対処しなければならないという代替策と比較した場合の推奨措置です。

読み込んでいます...