ReverseRat
Los investigadores han detectado una campaña de ataque potencialmente dañina que emplea un troyano de acceso remoto (RAT) previamente desconocido llamado ReverseRat. La amenaza, junto con una RAT de código abierto llamada AllaKore, se ha implementado contra un conjunto reducido de objetivos seleccionados que operan en sectores industriales críticos. Algunas de las víctimas identificadas incluyen una organización gubernamental extranjera, una empresa de transmisión de energía y una organización de generación y transmisión de energía. Casi todas las organizaciones que mostraron señales consistentes con el IoC (Indicadores de Compromiso) observados en la campaña ReverseRat están ubicadas en India y solo un pequeño número de víctimas son de Afganistán. En cuanto al actor de amenazas responsable de los ataques, parece estar operando desde Pakistán o tener vínculos con el país.
Capacidades de ReverseRat
Una vez implementado exitosamente dentro de la red interna de la víctima, ReverseRat permite al actor de amenazas realizar numerosas actividades amenazantes, dependiendo de sus objetivos particulares. Comencemos desde el principio: la amenaza comienza a funcionar enumerando el dispositivo comprometido y recopilando varios datos sobre él a través de Windows Management Instrumentation (WMI). Entre la información recopilada se encuentran la dirección MAC del dispositivo, la memoria física conectada a él y numerosos detalles de la CPU: velocidad máxima del reloj, nombre del modelo, fabricante, etc. ReverseRat también determina el nombre de la computadora, el sistema operativo y la dirección IP pública a través de la .NET Framework.
Todos los datos recopilados se codifican y se envían a un nodo de comando y control (C2, C&C). ReverseRat luego espera recibir un comando apropiado que coincida con sus funciones predefinidas. El actor de la amenaza puede indicarle al RAT que modifique la estructura de archivos en el sistema; ejecutar, iniciar o eliminar procesos específicos, recopilar datos del portapapeles, realizar capturas de pantalla y ejecutar comandos arbitrarios desde una ventana cmd.exe oculta. Sin embargo, este conjunto básico de funciones podría ampliarse con módulos adicionales que ReverseRat puede descargar e iniciar en el sistema vulnerado.
Los RAT son un malware extremadamente amenazante e incluso las organizaciones que no se encuentran dentro de los criterios actuales de las víctimas de ReverseRat deben tomar las precauciones necesarias y ajustar sus medidas de seguridad.
