tRat: تروجان مدولار جدید

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

tRat: تروجان مدولار جدید

پژوهشگران Proofpoint؛ تروجان با دسترسی راه دور (RAT) جدیدی را با عنوان tRat کشف کرده‌اند که توسط گروه TA۵۰۵ مورد استفاده قرار گرفته است. این گروه در گذشته با استفاده از بدافزارهای Dridex و Locky، حملات بسیاری را انجام داده‌اند .
q1088
تروجان tRat با زبان دلفی نوشته شده است و دارای ساختار مدولار است. از این بدافزار در یک حمله در تاریخ ۱۹ مهر، در قالب یک عملیات ایمیل اسپم استفاده شده است. در ایمیل‌ها از اسناد Microsoft Word و Microsoft Publisher برای توزیع استفاده شده و اهداف حمله کاربران موسسات بانکی بوده است.
به گفته پژوهشگران، tRat پایداری در سیستم را با کپی کردن فایل اجرایی خود در پوشه AppData حاصل می‌کند. سپس یک فایل LNK در پوشه Startup قرار می‌دهد تا با هر بار راه‌اندازی مجدد سیستم، بدافزار اجرا شود.
q1089
به منظور برقراری ارتباط با سرور C&C، رمزگذاری داده‌ها و انتقال hex رمز شده، از پورت ۸۰ TCP استفاده و در درخواست اولیه، اطلاعاتی از قبیل نام رایانه، نام‌کاربری سیستم و شناسه tRat bot ارسال می‌شود.
گروه TA۵۰۵ عملیات‌های پیچیده با حجم و تناوب بالا انجام می‌دهد و معروف به تست بدافزارهای جدیدی از جمله BackNet، Cobalt Strike، Marap، Dreamsmasher و حتی باج‌افزار Bart است، با این حال تاکنون هیچ یک از این موارد را توزیع نکرده است.

نشانه‌های آلودگی (IoC):
هش‌ها (SHA-۲۵۶):


cd۰f۵۲f۵d۵۶aa۹۳۳e۴c۲۱۲۹۴۱۶۲۳۳b۵۲a۳۹۱b۵c۶f۳۷۲c۰۷۹ed۲c۶eaca۱b۹۶b۸۵
• cdb۸a۰۲۱۸۹a۸۷۳۹dbe۵۲۸۳f۸bc۴۶۷۹bf۲۸۹۳۳adbe۵۶bff۶d۰۵۰bad۳۴۸۹۳۲۳۵۲b

آی‌پی‌ها:


• ۵۱,۱۵[.]۷۰[.]۷۴

منابع:
https://www.securityweek.com/dridexlocky-operators-unleash-new-malware-recent-attack
https://securityaffairs.co/wordpress/۷۸۰۷۴/malware/ta۵۰۵-trat-campaign.html
https://www.proofpoint.com/us/threat-insight/post/trat-new-modular-rat-appears-multiple-email-campaigns


مرجع : مرکز مدیریت راهبردی افتا ریاست جمهوری