Во время расследования наша команда Solar JSOC CERT наткнулась на неизвестный RAT. Но после проведения анализа стало понятно, что это новая версия RAT (3.3a), который использует группировка APT31.
Для закрепления в системе и запуска RAT злоумышленники использовали службы. Схема запуска RAT, как и в прошлой версии, использует DLL Hijacking и приведена на рисунке:
- схемы запуска – DLL Hijacking;
- каталоги размещения – C:\ProgramData;
- инструментарий – в рамках инцидента злоумышленники использовали бэкдор PlugX;
- заимствование кода компонентов из Gh0st RAT;
Indicators of Compromise
IPv4
- 213.183.53.156
Domains
- api.inliines.com
SHA256
- 064a158a475d275c6be6d79b86c32f33e1723837020e05e0df96bbd2767ca1ca
- 2676ff82303dd30c23608d55c3d5214e18319d584763afe8ec058ca6ab149d51
- 267c0a4ffb1a70028f841e0acf960dfdb87971129043baa2869f61e2a74a96d4
- 2f54780cb0f04cfe7304d7863a71449a5defe55e8a27ca2d1a1476f1ebdd55c9
- 7259da2c7c36dab389fd3ab56d053fef8aa581fab84dbb36327e271e52917906
- b3418389642603379450f51b0c6028d1dbaa44bada61857d9d9cf0f564b84e64