За время существования LodaRAT имплант претерпел множество изменений и продолжает развиваться. Хотя некоторые из этих изменений кажутся чисто для увеличения скорости и эффективности, или уменьшения размера файла, некоторые изменения делают Loda более способной вредоносной программой. По мере роста ее популярности можно ожидать дополнительных изменений в будущем. Легкость доступа к исходному коду делает LodaRAT привлекательным инструментом для любого угрожающего субъекта, заинтересованного в его возможностях.
В зависимости от квалификации субъектов угроз, пытающихся модифицировать LodaRAT, вероятно, увидим в природе более сложные и продвинутые варианты. В связи с появлением новых вариантов ожидается, что LodaRAT будет продолжать распространяться наряду с другими семействами вредоносных программ. Будучи легкодоступным и простым в настройке, он стал привлекательным инструментом для некоторых злоумышленников.
Кроме того, с ростом присутствия LodaRAT в ландшафте угроз также можем увидеть новые вредоносные программы от Kasablanka, автора оригинального вредоносного ПО. Поскольку их инструмент становится все более популярным, частота обнаружения, вероятно, увеличится, что снизит эффективность LodaRAT. В связи с этим Kasablanka может выбрать новый инструмент.
Indicators of Compromise
IPv4
- 193.161.193.99
IPv4 Port Combinations
- 34.174.95.150:54865
Domains
- catkiller7767-64721.portmap.io
- judithabusufaitdyg.duckdns.org
SHA256
- 50e2444e832e4c3ed711fcf27c038967c2c5f5037a4e0ea2cc6d53ef6ac54cfb
- ac3c94d88bcd4833d6fc5ffde7379f90a8915863567990572f2fa0d7fe83d0da
- c73771b3b8c6e548724dd02e5f12380a9160323d88dbdbe12d388ade0f7bc1e2
- cd6a8e6b17a1ecb5aafb24ef4f7ec0ba0be44508ea10dbde551e0037220571f8
- e6bf1b38f9d4b2a2aeb00dc4c12dd22eff26c318665687b4653fe8269d39d878