ReverseRat

Une campagne d'attaque potentiellement dangereuse utilisant un cheval de Troie d'accès à distance (RAT) jusqu'alors inconnu nommé ReverseRat a été détectée par des chercheurs. La menace, aux côtés d'un RAT open source appelé AllaKore, a été déployée contre un ensemble restreint de cibles sélectionnées opérant dans des secteurs industriels critiques. Certaines des victimes identifiées comprennent une organisation gouvernementale étrangère, une société de transport d'électricité et une organisation de production et de transport d'électricité. Presque toutes les organisations qui ont affiché des signes compatibles avec les IoC (Indicateurs de compromis) observés dans la campagne ReverseRat sont situées en Inde, avec un petit nombre de victimes en provenance d'Afghanistan. Quant à l'acteur menaçant responsable des attaques, il semble soit opérer depuis le Pakistan, soit avoir des liens avec le pays.

Capacités de ReverseRat

Une fois déployé avec succès dans le réseau interne de la victime, ReverseRat permet à l'auteur de la menace d'effectuer de nombreuses activités menaçantes, en fonction de ses objectifs particuliers. Commençons par le début - la menace commence son opération en énumérant l'appareil compromis et en collectant diverses données à son sujet via Windows Management Instrumentation (WMI). Parmi les informations recueillies figurent l'adresse MAC de l'appareil, la mémoire physique qui lui est connectée et de nombreux détails du processeur - vitesse d'horloge maximale, nom du modèle, fabricant, etc. ReverseRat détermine également le nom de l'ordinateur, le système d'exploitation et l'adresse IP publique via le Cadre .Net.

Toutes les données récoltées sont ensuite codées et envoyées à un nœud de commande et de contrôle (C2, C&C). ReverseRat attend ensuite de recevoir une commande appropriée qui correspond à ses fonctions prédéfinies. L'acteur de la menace peut demander au RAT de modifier la structure des fichiers sur le système ; exécuter, démarrer ou tuer des processus spécifiés, collecter des données à partir du presse-papiers, prendre des captures d'écran et exécuter des commandes arbitraires à partir d'une fenêtre cmd.exe cachée. Cet ensemble de fonctionnalités de base, cependant, pourrait être étendu avec des modules supplémentaires que ReverseRat peut télécharger et lancer sur le système violé.

Les RAT sont des logiciels malveillants extrêmement menaçants et même les organisations qui ne correspondent pas aux critères actuels des victimes de ReverseRat devraient prendre les précautions nécessaires et ajuster leurs mesures de sécurité.