ReverseRat

研究者は、ReverseRatという名前のこれまで知られていなかったリモートアクセストロイの木馬（RAT）を使用した潜在的に有害な攻撃キャンペーンを検出しました。この脅威は、AllaKoreと呼ばれるオープンソースのRATとともに、重要な業界セクターで運用されている狭い範囲の選択されたターゲットに対して展開されています。特定された被害者の中には、外国政府組織、送電会社、および発電および送電組織が含まれます。 ReverseRatキャンペーンで観察されたIoC（Indicators of Compromise）と一致する兆候を示したほぼすべての組織はインドにあり、アフガニスタンからの犠牲者はごくわずかです。攻撃の原因となった脅威アクターに関しては、パキスタンから活動しているか、パキスタンと関係があるようです。

ReverseRatの機能

被害者の内部ネットワーク内に正常に展開されると、ReverseRatを使用すると、攻撃者は特定の目標に応じて、多数の脅迫活動を実行できます。最初から始めましょう。脅威は、侵害されたデバイスを列挙し、Windows Management Instrumentation（WMI）を介してデバイスに関するさまざまなデータを収集することで動作を開始します。収集される情報には、デバイスのMACアドレス、それに接続されている物理メモリ、および多数のCPUの詳細（最大クロック速度、モデル名、製造元など）があります。ReverseRatは、コンピューター名、オペレーティングシステム、およびパブリックIPアドレスも決定します。 。ネットフレームワーク。

次に、収集されたすべてのデータがエンコードされ、コマンドアンドコントロール（C2、C＆C）ノードに送信されます。次に、ReverseRatは、ビルド済みの関数に一致する適切なコマンドを受信するのを待ちます。攻撃者は、システム上のファイル構造を変更するようにRATに指示できます。指定されたプロセスを実行、開始、または強制終了し、クリップボードからデータを収集し、スクリーンショットを撮り、非表示のcmd.exeウィンドウから任意のコマンドを実行します。ただし、この基本的な機能セットは、ReverseRatがダウンロードして、侵害されたシステムで開始できる追加のモジュールで拡張できます。

RATは非常に脅威的なマルウェアであり、ReverseRatの被害者の現在の基準に該当しない組織でも、必要な予防措置を講じてセキュリティ対策を調整する必要があります。