Action RAT - это инструмент удаленного доступа, написанный на Delphi, который использовался SideCopy по крайней мере с декабря 2021 года против правительственного персонала Индии и Афганистана.
SideCopy распространяет свои RAT, используя множество различных методов заражения — от LNK-файлов до самораспаковывающихся EXE-файлов RAR и установщиков на основе MSI.
Indicators of Compromise
IPv4
- 144.91.65.100
- 144.91.91.236
- 149.248.52.61
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Action RAT.
ID | Техника | CWE | Описание | Доверие |
1 | T1006 | CWE-22 | Обход имени пути | Высокий |
2 | T1055 | CWE-74 | Инъекция | Высокий |
3 | T1059 | CWE-94 | Межсайтовый скриптинг | Высокий |