MysterySnail RAT
Le MysterySnail RAT est une menace qui, selon les conclusions des chercheurs d'infosec, est liée au groupe chinois APT (Advanced Persistent Threat) IronHusky. La menace est décrite comme un cheval de Troie de type shell distant et est exceptionnellement grande à 8,29 Mo. Il y a plusieurs raisons pour la taille anormale. Premièrement, le MysterySnail RAT est compilé statiquement avec la bibliothèque OpenSSL et contient du code inutilisé de cette bibliothèque. Deuxièmement, il contient deux grandes fonctions qui n'ont aucun objectif pratique en plus de gaspiller des cycles d'horloge du processeur.
La raison probable de l'inclusion de gros morceaux de code superflu est de renforcer les capacités d'anti-détection et d'anti-émulation de la menace. Cette conclusion est également étayée par l'inclusion de diverses logiques redondantes, ainsi que de plusieurs fonctions exportées alors qu'une seule exécute les tâches réelles.
Détails de MysterySnail RAT
Dans l'ensemble, le MysterySnail RAT ne fait pas partie des menaces les plus sophistiquées de ce type.Cependant, il compense avec une liste étendue de fonctionnalités (la menace peut reconnaître un total de 20 commandes différentes) telles que la détection de tout lecteur de disque inséré ou la capacité d'agir en tant que proxy. Dès réception de la commande appropriée de son serveur Command-and-Control (C&C, C2), la menace est capable de manipuler le système de fichiers du système compromis en créant, lisant, téléchargeant ou supprimant les fichiers choisis. Le MysterySnail RAT peut également démarrer ou terminer des processus. De plus, il peut ouvrir une fenêtre d'invite de commande permettant aux attaquants d'exécuter des commandes arbitraires.
L'une des premières actions effectuées par MysterySnail RAT consiste à collecter des données sur le système violé. Le malware recueille des détails, tels que le nom de l'ordinateur, le nom du produit Windows, l'adresse IP, le nom d'utilisateur et plus encore. Toutes les informations collectées sont ensuite téléchargées sur le serveur C2. En ce qui concerne l'adresse du serveur, les échantillons de menaces analysés comportaient deux URL codées en dur stockées en texte brut qui agissaient comme des leurres. L'URL réelle est décodée par un seul octet xor qui fournit l'adresse 'http[.]ddspadus[.]com'.
