PureRAT ļaunprogrammatūra
Kiberdrošības pētnieki ir atklājuši plašu pikšķerēšanas kampaņu, kas bija vērsta pret Krievijas organizācijām, piegādājot aizmugurējās durvis ļaunprogrammatūru, kas pazīstama kā PureRAT. Lai gan kampaņa sākās 2023. gada martā, tā piedzīvoja dramatisku pieaugumu 2025. gada sākumā, četrkāršojot uzbrukumu skaitu salīdzinājumā ar to pašu periodu 2024. gadā. Lai gan konkrēts apdraudējuma izpildītājs nav identificēts, izmantotās metodes un ļaunprogrammatūra liecina par ļoti koordinētu operāciju.
Satura rādītājs
Maldinoša piegāde: uzbrukuma anatomija
Uzbrukums tiek uzsākts ar pikšķerēšanas e-pastu, kas satur .RAR arhīvu vai lejupielādes saiti. Ar maldinošiem dubultiem paplašinājumiem (piemēram, doc_054_[redacted].pdf.rar) slēptais arhīvs izliekas par Microsoft Word vai PDF failu. Kad upuris atver failu, tiek palaists tajā esošais izpildāmais fails.
Šis izpildāmais fails veic vairākas slepenas darbības:
- Kopē sevi uz %AppData% kā task.exe
- Izveido Task.vbs skriptu startēšanas mapē saglabāšanai.
- Izvelk un palaiž ckcfb.exe
Savukārt ckcfb.exe izmanto InstallUtil.exe, lai izpildītu atšifrētu moduli. Tas arī atšifrē un ielādē Spydgozoi.dll, kas satur galveno PureRAT vērtumu.
Tālvadības pults: ko PureRAT var darīt
Pēc nostiprināšanās PureRAT izveido šifrētu savienojumu ar Command-and-Control (C2) serveri un nodod sistēmas informāciju. Pēc tam tas var saņemt un izpildīt bojātus moduļus, piemēram:
Spraudņa datora opcija
- Veic pašizdzēšanu
- Restartē ļaunprogrammatūras procesus
- Izslēdz vai pārstart sistēmu
Spraudņa loga paziņojums
- Uzrauga aktīvos logus, meklējot sensitīvus atslēgvārdus (piemēram, paroli, banku)
- Var uzsākt darbības, piemēram, neatļautus līdzekļu pārskaitījumus
Spraudņu apgriešanas rīks
- Aizstāj kopētās kriptovalūtu maku adreses ar uzbrucēju kontrolētām adresēm
Turklāt PureRAT nodrošina uzbrucējiem:
- Taustiņslēgšana
- Attālā darbvirsmas vadība
- Piekļuve failiem, reģistram, kamerai, mikrofonam un darbojošajiem procesiem
Slāņveida infekcija: vairāk nekā tikai PureRAT
Sākotnējais izpildāmais fails arī izvelk StilKrip.exe — komerciālu lejupielādētāju ar nosaukumu PureCrypter, kas ir pieejams kopš 2022. gada. Šis rīks lejupielādē sekundāru failu Bghwwhmlr.wav, kas aktivizē jaunu izpildes ķēdi. Šī secība galu galā palaiž Ttcxxewxtly.exe, aktivizējot Bftvbho.dll — otrā ļaunprogrammatūras paveida PureLogs galveno komponentu.
PureLogs darbojas kā spēcīgs informācijas zaglis. Kad tas ir aktīvs, tas nemanāmi ievāc plašu sensitīvu datu klāstu, tostarp akreditācijas datus un lietotāju informāciju no tīmekļa pārlūkprogrammām, e-pasta klientiem, VPN pakalpojumiem un ziņojumapmaiņas lietojumprogrammām. Tas ir vērsts arī pret paroļu pārvaldniekiem, kriptovalūtas maku lietojumprogrammām un plaši izmantotiem failu pārsūtīšanas rīkiem, piemēram, FileZilla un WinSCP, nodrošinot uzbrucējiem dziļu piekļuvi gan personas, gan organizācijas datiem.
Secinājums: e-pasts joprojām ir vājākais posms
PureRAT un PureLogs apvienojums piedāvā kibernoziedzniekiem plašas iespējas izspiegot, apkopot un kontrolēt apdraudētas sistēmas. Pastāvīga pikšķerēšanas e-pastu ar kaitīgiem pielikumiem vai saitēm izmantošana joprojām ir galvenais piekļuves punkts, kas uzsver kritisko nepieciešamību pēc spēcīgas e-pasta filtrēšanas un lietotāju informētības organizāciju kiberdrošības aizsardzībā.
