Nauja Atroposia kenkėjiška programa yra su vietiniu pažeidžiamumo skaitytuvu

Nauja kenkėjiškų programų kaip paslaugos (MaaS) platforma, pavadinta Atroposia, suteikia kibernetiniams nusikaltėliams nuotolinės prieigos Trojos arklį, kuris sujungia nuolatinės prieigos, vengimo, duomenų vagystės ir vietinio pažeidžiamumo nuskaitymo galimybes.

Kenkėjišką programą galima įsigyti už 200 USD mėnesinę prenumeratą, kuri atrakina pažangias funkcijas, tokias kaip paslėptas nuotolinis darbalaukis, failų sistemos valdymas, duomenų išfiltravimas, iškarpinės vagystės, kredencialų vagystės, kriptovaliutos piniginės vagystės ir DNS užgrobimas.

„Atroposia“ atrado duomenų saugos įmonės „Varonis“ tyrėjai, kurie perspėjo, kad tai naujausias lengvai naudojamo, įperkamo „plug and play“ įrankių rinkinio pavyzdys kartu su SpamGPT ir MatrixPDF.

Atropozijos apžvalga

„Atroposia“ yra modulinė RAT, kuri palaiko ryšį su savo komandų ir valdymo (C2) infrastruktūra šifruotais kanalais ir gali apeiti vartotojo abonemento valdymo (UAC) apsaugą, kad padidintų „Windows“ sistemų privilegijas.

Pasak mokslininkų, jis gali išlaikyti nuolatinę, slaptą prieigą prie užkrėstų šeimininkų, o pagrindinės jo galimybės apima:

• HRDP prisijungti modulis, kuris sukuria slaptą darbalaukio seansą fone, leidžiantį užpuolikui atidaryti programas, peržiūrėti dokumentus ir el. paštą bei sąveikauti su vartotojo sesija be jokių matomų nurodymų. Varonis sako, kad standartinis nuotolinės prieigos stebėjimas gali to neaptikti.

• Explorer stiliaus failų tvarkyklė kuri leidžia nuotoliniu būdu naršyti failus, kopijuoti, ištrinti ir vykdyti. Griebimo komponentas ieško konkrečių failų, filtruodamas juos pagal plėtinį arba raktinį žodį, suglaudina duomenis į slaptažodžiu apsaugotus ZIP archyvus ir išfiltruoja juos naudodamas atmintyje esančias technologijas, kad sumažintų pėdsakus.

• Stealer modulis taikosi į išsaugotus prisijungimus, kriptovaliutų pinigines ir pokalbių failus, o iškarpinės tvarkyklė fiksuoja viską, kas nukopijuota realiuoju laiku (slaptažodžius, API raktus, piniginės adresus) ir pateikia istoriją užpuolikui.
• Priimančiojo lygio DNS užgrobimas modulis, susiejantis domenus su užpuoliko IP, kad auka būtų tyliai nukreipta į nesąžiningus serverius, įgalinant sukčiavimą, MITM, netikrus naujinimus, skelbimų ar kenkėjiškų programų įterpimą ir DNS pagrįstą išfiltravimą.

• Įmontuotas vietinis pažeidžiamumo skaitytuvas kuri tikrina trūkstamus pataisymus, nesaugius nustatymus ir pažeidžiamą programinę įrangą, grąžindama rezultatą, leidžiantį užpuolikams teikti pirmenybę išnaudojimams, parodydama RAT modulinę, papildiniais pagrįstą darbo eigą.

Tyrėjai teigia, kad pažeidžiamumo patikrinimas „yra pavojingas įmonių aplinkoje, nes kenkėjiška programa gali rasti pasenusį VPN klientą arba nepataisytą privilegijų eskalavimo klaidą“. Tai gali būti lengvai naudojama norint gauti gilesnę prieigą.

Remiantis „Varonio“ pranešimu, modulis tikrina, ar nėra pataisų, nesaugių nustatymų ir pasenusių programinės įrangos versijų. Ši funkcija taip pat gali būti naudojama norint rasti netoliese esančias sistemas, kurias galima išnaudoti.

„Atroposia“ atsiradimas prideda dar vieną „MaaS“ galimybę kibernetiniams nusikaltėliams, sumažindama techninę kliūtį ir įgalindama žemos kvalifikacijos grėsmės veikėjus vykdyti veiksmingas kampanijas.

Siekiant sumažinti riziką, vartotojams patariama atsisiųsti programinę įrangą tik iš oficialių svetainių ir patikimų šaltinių, vengti piratinės programinės įrangos ir torrentų, praleisti reklamuojamus paieškos rezultatus ir niekada nevykdyti internete randamų komandų, kurių jie nesupranta.