CetaRAT

CetaRAT es una amenaza de Troyano de acceso remoto (RAT) escrito con el lenguaje de programación C #. Su función principal es realizar actividades de espionaje donde recolecta y luego exfiltra datos sensibles de las máquinas comprometidas. La comunidad de seguridad de información advirtió por primera vez la amenaza cuando se desplegó en la Operación SideCopy, que aún está en curso, una campaña de ataque dirigida contra las fuerzas de defensa y el personal de las fuerzas armadas de la India. Desde entonces, CetaRAT ha estado ampliando su alcance y aprovechándose de ataques adicionales contra agencias gubernamentales indias.

Cadena de Ataque

La cadena de infección de CetaRAT comienza con la distribución de correos electrónicos de spear-phishing que llevan un archivo adjunto armado. Los archivos adjuntos dañados pueden tomar la forma de un archivo ZIP que recupera un archivo HTA de una URL remota. La ejecución del archivo HTA envía la amenaza de CetaRAT a la máquina de la víctima. Hasta ahora se han observado dos métodos diferentes.

En el primero, después de que se inicia el archivo HTA, se procede a crear y ejecutar un archivo JavaScript ubicado en la ubicación 'C: \ ProgramData'. El script es responsable de mostrar un documento señuelo a la víctima desprevenida para distraerla del hecho de que la carga útil de CetaRAT se está cayendo en la ubicación de inicio del sistema. Los documentos señuelo generalmente contienen información sobre un tema relevante relacionado con la región y la India en particular.

El segundo método ve la creación y ejecución de archivos por lotes que se colocan en una carpeta con un nombre aleatorio en la unidad C del dispositivo comprometido. El siguiente paso es agregar una entrada de Registro en HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run que apunte a la carga útil de CetaRAT. En este caso, el archivo ejecutable de la amenaza se encuentra en la carpeta '% AppData / Roaming%'.

Informacion Recolectada

Antes de que CetaRAT active su funcionalidad principal, la amenaza realiza un análisis de todas las soluciones antivirus en ejecución y envía los detalles adquiridos a su servidor Command-an-Control (C2, C&C). Después de eso, comienza a recopilar varios detalles del sistema, incluido el nombre de la computadora, la dirección IP, los detalles de la memoria, la información del procesador, los datos del sistema operativo y más.

Cuando se haya transmitido la información inicial sobre el dispositivo comprometido, CetaRAT esperará comandos adicionales. El actor de amenazas puede instruir al RAT para que busque cargas útiles adicionales y las ejecute, manipule el sistema de archivos de la víctima, tome capturas de pantalla arbitrarias, ejecute comandos arbitrarios y otras acciones intrusivas. Todos los datos recopilados se cifran con el algoritmo RC4 antes de transmitirse al servidor C2.