SombRAT

SombRAT

SombRAT est une menace de porte dérobée observée comme étant déployée dans des campagnes par ce que l'on pense être un groupe d'acteurs menaçants appelé CostaRicto qui propose des services de piratage à la location. Les outils qu'ils utilisent, y compris SombRAT, semblent être construits sur mesure ou spécifiquement conçus pour ce groupe de hackers, car ils n'apparaissent pas en dehors des opérations de CostaRicto.

Certains détails trouvés dans le code de SombRAT indiquent qu'à un moment donné, la menace du malware a été nommée Sombra, un personnage du jeu populaire Overwatch qui est décrit comme un spécialiste de l'espionnage et de l'évaluation du renseignement qui possède de grandes compétences en piratage informatique. Écrit en C ++, SombRAT se caractérise par une fonctionnalité de porte dérobée typique qui est enchantée par une architecture de plugin. Cela signifie que les attaquants de CostaRicto utilisent la menace principalement comme intermédiaire qui supprime et exécute des plugins ou des binaires corrompus supplémentaires et peut exfiltrer des données système spécifiques, mettre fin à des processus et télécharger des fichiers vers l'infrastructure de commande et de contrôle (C&C, C2) sur son posséder.

Une fois exécuté sur l'ordinateur ciblé, SombRAT vérifie d'abord qu'il est exécuté en tant que service, puis crée un mutex à exécution unique contenant & HOSTNAME & suivi de "S'', "U'' ou "SU'', déterminés par les privilèges spécifiques qui la menace a été exécutée avec. Lorsqu'il est entièrement déployé, SombRAT peut reconnaître 50 commandes différentes qui peuvent être largement divisées en six groupes, chacun ayant une interface distincte - Core, Taskman, Config, Storage, Debug et Network.

Avant de pouvoir commencer à recevoir des commandes, SombRAT doit établir une connexion avec les serveurs C2. Ceci est réalisé via un tunnel DNS ou des sockets TCP, le trafic de communication étant chiffré avec RSA-2048. Le domaine C2 est codé en dur dans la menace, tandis que le sous-domaine est déterminé par l'utilisation d'un algorithme de génération de domaine (DGA).

Toutes les données collectées par SombRAT avec ses détails de configuration et tous les plugins téléchargés sont placés dans un fichier créé dans le répertoire% TEMP% avec un format de base de données personnalisé. Le fichier utilise AES-256 comme algorithme de chiffrement, et chaque fois que le logiciel malveillant veut lire ce qui est déjà stocké ou ajouter de nouvelles informations, il doit déchiffrer puis rechiffrer le fichier entier.

Tendance

Chargement...