SombRAT

SombRAT

SombRAT ist eine Backdoor-Bedrohung, die in Kampagnen von einer mutmaßlichen Bedrohungsakteurgruppe namens CostaRicto eingesetzt wird, die Hacking-Services zum Mieten anbietet. Die von ihnen verwendeten Tools, einschließlich SombRAT, scheinen speziell für diese Hacker-Gruppe entwickelt worden zu sein, da sie nicht außerhalb der CostaRicto- Operationen angezeigt werden.

Bestimmte Details im Code von SombRAT weisen darauf hin, dass die Malware-Bedrohung irgendwann Sombra genannt wurde, eine Figur aus dem beliebten Spiel Overwatch, das als Spezialist für Spionage- und Intelligenzbewertung beschrieben wird und über hervorragende Hacking-Fähigkeiten verfügt. SombRAT wurde in C ++ geschrieben und zeichnet sich durch typische Backdoor-Funktionen aus, die durch eine Plugin-Architektur verzaubert werden. Dies bedeutet, dass die Angreifer von CostaRicto die Bedrohung hauptsächlich als Vermittler verwenden, der zusätzliche beschädigte Plugins oder Binärdateien liefert und ausführt und bestimmte Systemdaten filtern, Prozesse beenden und Dateien in die Command-and-Control-Infrastruktur (C & C, C2) hochladen kann.

Bei der Ausführung auf dem Zielcomputer überprüft SombRAT zunächst, ob es als Dienst ausgeführt wird, und erstellt dann einen einmaligen Mutex mit & HOSTNAME &, gefolgt von 'S', 'U' oder 'SU', bestimmt durch die spezifischen Berechtigungen, mit den die Bedrohung ausgeführt wurde. Bei vollständiger Bereitstellung kann SombRAT 50 verschiedene Befehle erkennen, die grob in sechs Gruppen unterteilt werden können, die jeweils über eine separate Schnittstelle verfügen - Core, Taskman, Config, Storage, Debug und Network.

Bevor SombRAT Befehle empfangen kann, muss es eine Verbindung zu den C2-Servern herstellen. Dies wird entweder durch DNS-Tunneling oder TCP-Sockets erreicht, wobei der Kommunikationsverkehr mit RSA-2048 verschlüsselt wird. Die C2-Domäne ist fest in die Bedrohung codiert, während die Subdomäne mithilfe eines Domain Generation Algorithm (DGA) bestimmt wird.

Alle von SombRAT gesammelten Daten sowie die Konfigurationsdetails und alle heruntergeladenen Plugins werden in einer Datei abgelegt, die im Verzeichnis% TEMP% mit einem benutzerdefinierten Datenbankformat erstellt wurde. Die Datei verwendet AES-256 als Verschlüsselungsalgorithmus. Jedes Mal, wenn die Malware entweder die bereits gespeicherten Daten lesen oder neue Informationen hinzufügen möchte, muss sie die gesamte Datei entschlüsseln und anschließend erneut verschlüsseln.

Im Trend

Wird geladen...