Mehrgerätelizenzen (Mengenrabatte)
Uncategorized FlawedGrace RAT

FlawedGrace RAT

Von Mezo in Uncategorized
Übersetzen Sie in:
Deutsch

FlawedGrace ist der Name einer vollwertigen RAT (Remote Access Threat), die Teil des bedrohlichen Arsenals der finanziell motivierten Cyberkriminellenbande ist, die als TA505 (oder Hive0065) verfolgt wird. Die Gruppe ist mindestens seit 2014 aktiv und gehört zu den produktivsten, denen mehrere Angriffskampagnen zugeschrieben werden. Ein weiteres Unterscheidungsmerkmal von TA505 ist seine Neigung, häufige Änderungen sowohl an seinen TTPs (Taktik, Techniken und Verfahren) als auch an Malware-Bedrohungstypen zu implementieren. Die Gruppe wurde beobachtet, wie sie massive E-Mail-Spam-Kampagnen mit dem Banking-Trojaner Dridex durchführte, bevor sie die Bedrohungen Locky und Jaff Ransomware, den Banking-Trojaner TrickBot und mehr verbreitete.

FlawedGrace-Details

Das erste Mal, dass die FlawedGrace RAT von infosec-Forschern entdeckt wurde, war im November 2017. Es ist eine leistungsstarke RAT, die in der Programmiersprache C++ geschrieben wurde. Es ist in der Lage, mehrere eingehende Befehle von einem Command-and-Control-Server zu erkennen, die über ein benutzerdefiniertes Binärprotokoll über Port 443 gesendet werden. Die Bedrohung kann angewiesen werden, zusätzliche beschädigte Module abzurufen und sie dann zu laden und auszuführen. Es kann auch ausgewählte Dateien herunterladen und exfiltrieren, sensible Benutzerinformationen wie Passwörter sammeln und mehr.

Bei den letzten Angriffsoperationen von TA505 wurde eine aktualisierte Version der FlawedGrace RAT eingesetzt. Während die vollständige Analyse der Änderungen noch im Gange ist, haben die Forscher bisher beobachtet, dass die Bedrohung nun verschlüsselte Zeichenfolgen und verschleierte API-Aufrufe verwendet. Ein weiterer Unterschied wurde in der Art und Weise festgestellt, wie die Bedrohung ihre Konfiguration speicherte. Die Anfangs- oder Standardkonfiguration wird als verschlüsselte Ressource auf dem System gespeichert. Danach wird es in zwei Teile geteilt - eine aktuelle Konfigurationsinstanz, die in einem zugeordneten Speicherbereich platziert wird, und ein Persistenzmechanismus, der in die Registrierung des Systems eingefügt wird.

Wird geladen...