SombRAT
SombRAT es una amenaza de puerta trasera que se ha observado que se implementa en campañas por lo que se cree que es un grupo de actores de amenazas llamado CostaRicto que ofrece servicios de piratería a cambio de un contrato. Las herramientas que utilizan, incluido SombRAT, parecen estar diseñadas a medida o diseñadas específicamente para este grupo de piratas informáticos, ya que no aparecen fuera de las operaciones de CostaRicto.
Ciertos detalles que se encuentran dentro del código de SombRAT apuntan a que en algún momento, la amenaza de malware se llamó Sombra, un personaje del popular juego Overwatch que se describe como especialista en espionaje y evaluación de inteligencia que posee grandes habilidades de piratería. Escrito en C ++, SombRAT se caracteriza por tener una funcionalidad típica de puerta trasera encantada a través de una arquitectura de complementos. Esto significa que los atacantes de CostaRicto utilizan la amenaza principalmente como un intermediario que suelta y ejecuta complementos o binarios corruptos adicionales y puede exfiltrar datos específicos del sistema, finalizar procesos y cargar archivos a la infraestructura de Comando y Control (C&C, C2) en su propio.
Al ejecutarse en la computadora de destino, SombRAT primero verifica que se esté ejecutando como un servicio y luego crea un mutex de una sola ejecución que contiene & HOSTNAME & seguido de 'S', 'U' o 'SU', determinado por los privilegios específicos que la amenaza se ejecutó con. Cuando está completamente implementado, SombRAT puede reconocer 50 comandos diferentes que se pueden dividir en seis grupos, cada uno con una interfaz separada: Core, Taskman, Config, Storage, Debug y Network.
Antes de que pueda comenzar a recibir comandos, SombRAT debe establecer una conexión con los servidores C2. Esto se logra a través de un túnel DNS o sockets TCP, con el tráfico de comunicación cifrado con RSA-2048. El dominio C2 está codificado en la amenaza, mientras que el subdominio se determina mediante el uso de un algoritmo de generación de dominio (DGA).
Todos los datos recopilados por SombRAT junto con sus detalles de configuración y los complementos descargados se colocan en un archivo creado en el directorio% TEMP% con un formato de base de datos personalizado. El archivo utiliza AES-256 como algoritmo de cifrado, y cada vez que el malware quiere leer lo que ya está almacenado o agregar nueva información, debe descifrar y volver a cifrar todo el archivo.
