Uncategorized FlawedGrace RAT

FlawedGrace RAT

FlawedGrace est le nom d'un RAT (Remote Access Threat) à part entière qui fait partie de l'arsenal menaçant du gang de cybercriminels à motivation financière suivi sous le nom de TA505 (ou Hive0065). Le groupe est actif depuis au moins 2014 et compte parmi les plus prolifiques, de multiples campagnes d'attaques lui étant attribuées. Une autre caractéristique distinctive du TA505 est sa propension à mettre en œuvre des modifications fréquentes à la fois de leurs TTP (tactiques, techniques et procédures), ainsi que des types de menaces de logiciels malveillants. Le groupe a été observé en train de mener des campagnes massives de spam par courrier électronique livrant le cheval de Troie bancaire Dridex, avant de passer à la distribution des menaces Locky et Jaff Ransomware, du cheval de Troie bancaire TrickBot et plus encore.

Détails de FlawedGrace

La première fois que le RAT FlawedGrace a été détecté par les chercheurs d'infosec, c'était en novembre 2017. Il s'agit d'un RAT puissant écrit dans le langage de programmation C++. Il est capable de reconnaître plusieurs commandes entrantes provenant d'un serveur Command-and-Control envoyées via un protocole binaire personnalisé utilisant le port 443. La menace peut être chargée de récupérer des modules corrompus supplémentaires, puis de les charger et de les exécuter. Il peut également télécharger et exfiltrer les fichiers choisis, collecter des informations utilisateur sensibles, telles que des mots de passe, etc.

Dans les dernières opérations d'attaque menées par TA505, une version mise à jour du FlawedGrace RAT a été déployée. Alors que l'analyse complète des changements est toujours en cours, jusqu'à présent, les chercheurs ont observé que la menace utilise désormais des chaînes cryptées et des appels d'API obscurcis. Une autre différence a été trouvée dans la façon dont la menace stockait sa configuration. La configuration initiale ou par défaut est stockée sur le système en tant que ressource chiffrée. Ensuite, il est divisé en deux : une instance de configuration actuelle placée dans une région de mémoire mappée et un mécanisme de persistance injecté dans le registre du système.

Chargement...