- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Эксперты из компании SafeBreach рассказывают, что атаки с использованием CodeRAT строились следующим образом: кампания, судя по всему, была нацелена на разработчиков из Ирана, говорящих на фарси. Их атаковали при помощи документа Word, который содержал DDE-эксплоит.
Этот эксплоит загружал и запускал CodeRAT из GitHub- репозитория злоумышленника, предоставляя удаленному оператору широкий спектр возможностей после заражения. В частности, CodeRAT поддерживает около 50 команд, включая создание скришотов, копирование содержимого буфера обмена, получение списка запущенных процессов, завершение процессов, проверку использования графического процессора, загрузку, скачивание и удаление файлов, выполнение программ и так далее.
Также вредонос обладает обширными возможностями для мониторинга веб-почты, документов Microsoft Office, баз данных, социальных сетей, IDE для Windows Android, а также порносайтов и отдельных сайтов (например, иранской e-commerce компании Digikala или веб-мессенджера Eitaa на языке фарси). Кроме того, малварь шпионит за окнами таких инструментов, как Visual Studio, Python, PhpStorm и Verilog.
«Такой мониторинг, особенно слежка за порносайтами, активностью в социальных сетях и использованием инструментов для анонимного браузинга, приводит нас к мысли, что CodeRAT — это разведывательный инструмент, используемый злоумышленниками, связанными с правительством. Обычно подобное наблюдается в атаках, за которыми стоит исламский режим Ирана, отслеживающий незаконные и аморальные действий своих граждан», — говорят эксперты.
Для связи со своим оператором и кражи собранных данных CodeRAT использует механизм на базе Telegram, который полагается на общедоступный API загрузки анонимных файлов (вместо традиционной C&C-инфраструктуры).
Хотя эта кампания внезапно прервалась, исследователи сумели вычислить разработчика малвари, который скрывается за ником Mr Moded. Когда специалисты SafeBreach связались с разработчиком CodeRAT, тот сначала не стал отрицать их обвинения, а вместо этого запросил у экспертов дополнительную информацию.
После того, как специалисты предоставили Mr Moded доказательства, связывающие его с CodeRAT, он не растерялся и попросту выложил исходный код малвари у себя на GitHub. Исследователи предупреждают, что теперь, после публикации исходников, CodeRAT может стать более распространенным.