CetaRAT

CetaRAT est un cheval de Troie d'accès à distance (RAT) écrit à l'aide du langage de programmation C#. Sa fonction principale est de mener des activités d'espionnage où il récolte puis exfiltre des données sensibles des machines compromises. La menace a été remarquée pour la première fois par la communauté infosec lorsqu'elle a été déployée dans le cadre de l'opération toujours en cours SideCopy, une campagne d'attaque visant les forces de défense indiennes et le personnel des forces armées. Depuis lors, CetaRAT a étendu sa portée et a été mis à profit dans des attaques supplémentaires contre les agences gouvernementales indiennes.

Chaîne d'attaque

La chaîne d'infection de CetaRAT commence par la distribution d'e-mails de spear-phishing contenant une pièce jointe militarisée. Les pièces jointes corrompues peuvent prendre la forme d'une archive ZIP qui récupère un fichier HTA à partir d'une URL distante. L'exécution du fichier HTA envoie la menace du CetaRAT sur la machine de la victime. Jusqu'à présent, deux méthodes différentes ont été observées.

Dans le premier, une fois le fichier HTA lancé, il crée et exécute un fichier JavaScript placé dans l'emplacement 'C:\ProgramData'. Le script est chargé de montrer un document leurre à la victime sans méfiance pour la distraire du fait que la charge utile CetaRAT est larguée à l'emplacement de démarrage du système. Les documents leurres contiennent généralement des informations sur un sujet pertinent concernant la région et l'Inde en particulier.

La deuxième méthode voit la création et l'exécution de fichiers batch déposés dans un dossier nommé de manière aléatoire sur le lecteur C de l'appareil compromis. L'étape suivante consiste à ajouter une entrée de registre dans HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run pointant vers la charge utile de CetaRAT. Dans ce cas, le fichier exécutable de la menace se trouve dans le dossier '%AppData/Roaming%'.

Données collectées

Avant que CetaRAT n'active sa fonctionnalité principale, la menace effectue une analyse de toutes les solutions audiovisuelles en cours d'exécution et envoie les détails acquis à son serveur Command-an-Control (C2, C&C). Après cela, il commence à collecter divers détails du système, notamment le nom de l'ordinateur, l'adresse IP, les détails de la mémoire, les informations du processeur, les données du système d'exploitation, etc.

Lorsque les informations initiales sur l'appareil compromis ont été transmises, CetaRAT attendra des commandes supplémentaires. L'acteur de la menace peut demander au RAT de récupérer des charges utiles supplémentaires et de les exécuter, de manipuler le système de fichiers de la victime, de prendre des captures d'écran arbitraires, d'exécuter des commandes arbitraires et d'autres actions intrusives. Toutes les données récoltées sont cryptées avec l'algorithme RC4 avant d'être transmises au serveur C2.