CRAT

CRAT est un puissant RAT (Remote Access Trojan) qui a été lié aux activités d'une menace persistante avancée appelée Lazarus Group. Deux versions différentes de la menace ont été observées dans le cadre des campagnes d'attaque, et elles montrent clairement que CRAT est en cours de développement et évolue activement. La dernière variante a adopté une approche plus modulaire avec diverses capacités RAT déplacées vers des modules corrompus séparés au lieu de tous être regroupés dans une seule charge utile. En outre, la gamme de fonctionnalités de porte dérobée de CRAT a été élargie grâce à l'ajout de plugins de logiciels malveillants sélectionnables chargés de prendre des captures d'écran, d'enregistrer des frappes et de surveiller le presse-papiers. Plus important encore, CRAT peut déployer un module ransomware qui délivre la menace Hansom sur l'ordinateur compromis. Les pirates peuvent utiliser le ransomware pour extorquer des fonds à la victime après avoir déjà exfiltré toutes les données souhaitées ou pour perturber fortement le système d'extrémité.

Plusieurs techniques d'obfuscation entravent la détection de CRAT

L'aspect le plus important de toute menace RAT est sa capacité à infiltrer les systèmes ciblés, et CRAT a mis en place plusieurs contre-mesures anti-détection et anti-analyse. Premièrement, les pirates se sont éloignés de la pratique courante consistant à utiliser un packer qui peut être détecté par des techniques telles que l'analyse d'entropie, les analyses d'API d'importation, etc. En particulier, CRAT obscurcit ses chaînes en utilisant une clé XOR de quatre octets suivie d'un codage en base64. Il utilise également une résolution d'API dynamique et des correctifs de code d'exécution. Les noms des DLL du RAT sont conçus pour imiter ceux de la bibliothèque d'une application innocente.

CRAT effectue également une série de contrôles destinés à vérifier que la menace est exécutée sur le point final souhaité et non dans un environnement d'analyse. Il compare les adresses MAC, les processus, les adaptateurs réseau et les noms d'outils d'analyse à une liste de blocage codée en dur et, lors de la découverte d'une correspondance, il met fin à son exécution. CRAT vérifie toutes les tentatives de débogage, y compris via CheckRemoteDebuggerPresent.

Capacités de base RAT augmentées avec des plugins modulaires

Après une infiltration réussie, CRAT peut lancer une gamme impressionnante de capacités de porte dérobée qui n'ont été étendues que dans la version la plus récente. Avant que le RAT ne commence à agir, cependant, il attend de recevoir la commande appropriée de l'infrastructure de commande et de contrôle (C2, C&C) sous la forme d'une communication JSON via HTTP. L'adoption d'une architecture modulaire permet aux pirates de personnaliser davantage leurs activités en fonction de leurs objectifs menaçants en ne téléchargeant que des plugins de logiciels malveillants sélectionnés et en les injectant dans des processus spécifiques s'exécutant sur le point final compromis.

CRAT peut collecter diverses informations système telles que l'adresse MAC, le pare-feu et les produits antivirus installés, les noms de domaine, vérifier les privilèges administratifs, collecter des informations sur la taille de tous les fichiers et dossiers à l'exception de % windir% et de la corbeille, lire, écrire et exfiltrer le contenu des fichiers. Les attaquants peuvent exécuter des commandes à distance et mettre en place un shell de commande inversé. CRAT enfreint les informations d'identification des utilisateurs telles que les noms d'utilisateur et les mots de passe stockés dans Google Chrome. La menace est fournie avec un sous-module Explorateur de fichiers personnalisé.

Cependant, le plus grand changement par rapport aux anciennes versions est la capacité de CRAT à télécharger et installer des plugins corrompus selon les instructions reçues par le C2. Le plus étrange est le plugin ransomware portant la menace Hansom. Habituellement, les ransomwares crypte les fichiers sur le système infecté avec un algorithme incassable, mais Hansom a une approche différente. Lorsqu'il est lancé, il verrouille chaque fichier dans des archives individuelles qui se voient ensuite attribuer un mot de passe différent généré de manière aléatoire. Les mots de passe sont ensuite chiffrés avec une clé publique intégrée. Hansom peut affecter un total de 110 types de fichiers différents. Avant de démarrer le processus de chiffrement, il passe par plusieurs procédures conçues pour désactiver les notifications Windows Defender, le processus Windows Defender `` MsMpEng.exe '' en particulier, désactiver le gestionnaire de tâches et lancer un mécanisme de persistance via le registre et regsvr32.