CetaRAT

CetaRAT ist eine Bedrohung durch einen Remote-Access-Trojaner (RAT), der in der Programmiersprache C# geschrieben wurde. Seine Hauptfunktion besteht darin, Spionageaktivitäten durchzuführen, bei denen es sensible Daten aus den kompromittierten Maschinen sammelt und dann exfiltriert. Die Bedrohung wurde erstmals von der infosec-Community bemerkt, als sie in der noch laufenden Operation SideCopy eingesetzt wurde, einer Angriffskampagne gegen indische Verteidigungskräfte und Angehörige der Streitkräfte. Seitdem hat CetaRAT seine Reichweite erweitert und wird bei weiteren Angriffen gegen indische Regierungsbehörden eingesetzt.

Angriffskette

Die Infektionskette von CetaRAT beginnt mit der Verbreitung von Spear-Phishing-E-Mails, die einen waffenfähigen Anhang enthalten. Die beschädigten Anhänge können die Form eines ZIP-Archivs annehmen, das eine HTA-Datei von einer Remote-URL abruft. Durch die Ausführung der HTA-Datei wird die Bedrohung des CetaRAT auf den Computer des Opfers übertragen. Bisher wurden zwei verschiedene Methoden beobachtet.

Im ersten Fall erstellt und führt die HTA-Datei, nachdem die HTA-Datei initiiert wurde, eine JavaScript-Datei aus, die sich im Speicherort „C:\ProgramData“ befindet. Das Skript ist dafür verantwortlich, dem ahnungslosen Opfer ein Köderdokument zu zeigen, um es davon abzulenken, dass die CetaRAT-Nutzlast am Startort des Systems abgelegt wird. Die Köderdokumente enthalten in der Regel Informationen zu einem relevanten Thema, das die Region und insbesondere Indien betrifft.

Bei der zweiten Methode werden Batchdateien erstellt und ausgeführt, die in einem zufällig benannten Ordner auf dem Laufwerk C des kompromittierten Geräts abgelegt werden. Der nächste Schritt besteht darin, einen Registrierungseintrag unter HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run hinzuzufügen, der auf die Nutzlast von CetaRAT verweist. In diesem Fall befindet sich die ausführbare Datei der Bedrohung im Ordner „%AppData/Roaming%“.

Gesammelte Daten

Bevor CetaRAT seine Hauptfunktionalität aktiviert, führt die Bedrohung einen Scan für alle laufenden AV-Lösungen durch und sendet die erfassten Details an ihren Command-an-Control (C2, C&C)-Server. Danach beginnt es, verschiedene Systemdetails zu sammeln, einschließlich Computername, IP-Adresse, Speicherdetails, Prozessorinformationen, Betriebssystemdaten und mehr.

Wenn die ersten Informationen über das kompromittierte Gerät übertragen wurden, wartet CetaRAT auf weitere Befehle. Der Bedrohungsakteur kann die RAT anweisen, zusätzliche Nutzlasten abzurufen und auszuführen, das Dateisystem des Opfers zu manipulieren, beliebige Screenshots zu erstellen, beliebige Befehle auszuführen und andere aufdringliche Aktionen auszuführen. Alle gesammelten Daten werden mit dem RC4-Algorithmus verschlüsselt, bevor sie an den C2-Server übertragen werden.