Crimson RAT - это троянец удаленного доступа - вредоносная программа, которая используется для получения удаленного контроля над зараженными системами и кражи данных. Известно, что этот конкретный RAT используется основанной Пакистаном кибербандой, которая нацелена на индийские военные объекты для кражи секретной информации.
Также известен как
- SEEDOOR
- Scarimson
Что такое Crimson RAT?
Crimson - это троянец удаленного доступа - вредоносная программа, которую киберпреступники или группы угроз могут использовать для сбора информации с зараженных систем. Эта вредоносная программа также известна под названиями SEEDOOR и Scarimson. Она может использоваться для слежки за жертвами, создания скриншотов, кражи учетных данных и многого другого.
Известно, что Crimson особенно часто используется APT (Advanced Persistent Threat) - кибербандой, основанной государством. Поэтому Crimson RAT нацелен на очень специфическую группу жертв, среди которых правительственные организации Индии и военные.
Общее описание Crimson RAT
Crimson RAT относится к числу вредоносных программ, использующих информацию, связанную с коронавирусом, для заражения машин своих жертв. Стратегия использования стихийного бедствия для использования потребности в информации и стресса потенциальных жертв не является новой среди киберпреступников. На самом деле, фальшивая информация о SARS и других эпидемиях до сих пор используется для фишинга некоторыми схемами кибер-атак.
Так, авторы вредоносной программы Crimson используют поддельное письмо с рекомендациями по здравоохранению, чтобы обманом заставить жертв загрузить вредоносный документ.
После загрузки и установки RAT может выполнять несколько вредоносных функций, большинство из которых направлены на сбор информации. RAT может записывать и передавать злоумышленникам запущенные процессы на зараженной машине, делать скриншоты и красть информацию из веб-браузеров. Кроме того, вредоносная программа способна загружать файлы в зараженные системы с управляющего сервера.
Как мы уже упоминали выше, Crimson RAT управляется APT. В частности, APT36, которая, как считается, спонсируется пакистанскими чиновниками для осуществления военного шпионажа. Таким образом, жертвами RAT становятся почти исключительно индийские чиновники и военные. Считается, что извлеченная секретная информация, которую собирает APT, используется Пакистаном в военных действиях против Индии.
На самом деле, APT36, также известный под именем Mythic Leopard, имеет историю успешных атак на индийские посольства и военную инфраструктуру, в результате которых была похищена тактическая и учебная информация. Однако в предыдущих атаках использовались другие образцы вредоносного ПО.
Процесс выполнения Crimson RAT
Процесс выполнения Crimson RAT довольно прост, но может варьироваться от образца к образцу. Часто исполняемый файл вредоносной программы находится непосредственно внутри вредоносного документа, и как только пользователь открывает его, в файл попадает троян. В других случаях maldoc может содержать макрос, использующий Powershell для загрузки и запуска исполняемого файла трояна. После запуска троян пытается установить соединение с сервером C2 и передать информацию о системе жертвы и список запущенных процессов на этой системе.
Распространение вредоносной программы Crimson RAT
Crimson RAT распространяется с помощью высоконаправленных спам-кампаний по электронной почте по тому же сценарию, что и Quasar RAT. Техника Spear Phishing, использующая страх перед пандемией Covid-19, используется для того, чтобы обманом заставить жертву загрузить файл Microsoft Office Excel, который якобы содержит информацию, связанную со вспышкой заболевания. После открытия файла запускаются вредоносные макросы или используются уязвимости, такие как, например, CVE-2017-0199.
Заключение
Crimson, как и Netwalker, является ярким примером того, как субъект угрозы использует пандемию или другое стихийное бедствие, чтобы получить рычаги влияния на своих жертв и обманом заставить их установить вредоносное ПО. До сих пор это конкретное вредоносное ПО использовалось почти исключительно в военном шпионаже, но в будущем оно вполне может получить более широкое распространение.