Ένας νέος trojan απομακρυσμένης πρόσβασης, γνωστός ως ResokerRAT, ήρθε στο φως, χρησιμοποιώντας το bot API του Telegram ως βασικό κανάλι επικοινωνίας για την αθόρυβη παρακολούθηση και έλεγχο των μολυσμένων μηχανημάτων Windows.
Αυτό που κάνει αυτή την απειλή να ξεχωρίζει είναι ότι δεν βασίζεται σε έναν παραδοσιακό διακομιστή εντολών και ελέγχου.
Αντίθετα, χρησιμοποιεί κακώς μια ευρέως αξιόπιστη πλατφόρμα ανταλλαγής μηνυμάτων για να λαμβάνει οδηγίες εισβολέα και να στέλνει κλεμμένα δεδομένα, καθιστώντας τον εντοπισμό πολύ πιο δύσκολο για τα τυπικά εργαλεία ασφάλειας δικτύου.
Το ResokerRAT παραδίδεται ως ένα εκτελέσιμο αρχείο με το όνομα Resoker.exe. Μόλις ένα θύμα τρέξει αυτό το αρχείο, το κακόβουλο λογισμικό αρχίζει αμέσως να λειτουργεί στο παρασκήνιο, ρυθμίζει την επιμονή, ζητά αυξημένα προνόμια και προετοιμάζεται να απαντήσει σε απομακρυσμένες εντολές.
.webp.jpeg)
Οι δυνατότητές του κυμαίνονται από τη λήψη στιγμιότυπων οθόνης και τη λήψη πρόσθετων αρχείων έως την απενεργοποίηση των μηνυμάτων ασφαλείας των Windows και τον αποκλεισμό της πρόσβασης των χρηστών σε διαγνωστικά εργαλεία όπως η Διαχείριση εργασιών.
Οι αναλυτές της K7 Security Labs εντόπισαν το κακόβουλο λογισμικό και σημείωσε ότι μία από τις πρώτες ενέργειες κατά την εκτέλεση είναι η δημιουργία ενός mutex που ονομάζεται “Global\ResokerSystemMutex” χρησιμοποιώντας το Windows CreateMutexW API.
.webp.jpeg)
Αυτό το mutex λειτουργεί ως απλό κλείδωμα, διασφαλίζοντας ότι μόνο μία παρουσία του κακόβουλου λογισμικού εκτελείται στο σύστημα κάθε φορά. Το κακόβουλο λογισμικό χρησιμοποιεί επίσης τη συνάρτηση IsDebuggerPresent για να ελέγξει εάν ένας αναλυτής έχει συνδέσει ένα πρόγραμμα εντοπισμού σφαλμάτων στη διεργασία του.
.webp.jpeg)
Εάν εντοπιστεί ένα πρόγραμμα εντοπισμού σφαλμάτων, το κακόβουλο λογισμικό ενεργοποιεί μια προσαρμοσμένη εξαίρεση για να διακόψει οποιαδήποτε ανάλυση που βρίσκεται σε εξέλιξη.
Για να αποκτήσει βαθύτερη πρόσβαση, το κακόβουλο λογισμικό επιχειρεί να επανεκκινηθεί με δικαιώματα διαχειριστή χρησιμοποιώντας τη συνάρτηση ShellExecuteExA με την επιλογή “runas”.
.webp.jpeg)
Εάν αυτή η ανύψωση επιτύχει, η αρχική εμφάνιση κλείνει και η ανυψωμένη διαδικασία αναλαμβάνει. Εάν αποτύχει, το κακόβουλο λογισμικό αναφέρει το σφάλμα ξανά μέσω του Telegram bot.
Επίσης, σαρώνει διεργασίες που εκτελούνται και τερματίζει αναγκαστικά εργαλεία ανάλυσης όπως τα Taskmgr.exe, Procexp.exe και ProcessHacker.exe χρησιμοποιώντας τη συνάρτηση TerminateProcess.
Εμμονή και εκτέλεση εξ αποστάσεως εντολών
Η πιο ανησυχητική πτυχή του ResokerRAT είναι πώς ενσωματώνεται μόνιμα σε ένα σύστημα ενώ χρησιμοποιεί το Telegram ως κανάλι ζωντανού ελέγχου.
Όταν ο εισβολέας στέλνει την εντολή /startup, το κακόβουλο λογισμικό εγγράφει την εκτελέσιμη διαδρομή του στο μητρώο των Windows κάτω από HKCU\Software\Microsoft\Windows\CurrentVersion\Run με το όνομα κλειδιού «Resoker».
.webp.jpeg)
Αυτό διασφαλίζει ότι το κακόβουλο λογισμικό εκκινείται αυτόματα κάθε φορά που ξεκινά το μηχάνημα. Ένα μήνυμα επιβεβαίωσης με την ένδειξη “Προστέθηκε στην εκκίνηση” αποστέλλεται στη συνέχεια στον εισβολέα.
.webp.jpeg)
Η επικοινωνία μεταξύ του κακόβουλου λογισμικού και του εισβολέα ρέει εξ ολοκλήρου μέσω του Telegram Bot API. Το κακόβουλο λογισμικό δημιουργεί μια διεύθυνση URL χρησιμοποιώντας ένα κωδικοποιημένο διακριτικό bot και ένα αναγνωριστικό συνομιλίας για τη συνεχή δημοσκόπηση του Telegram για νέες οδηγίες.
Πριν από τη μετάδοση συλλεγόμενων δεδομένων, το κακόβουλο λογισμικό κωδικοποιεί το περιεχόμενο χρησιμοποιώντας κωδικοποίηση URL για να το βοηθήσει να περάσει μέσα από φίλτρα δικτύου χωρίς να επισημανθεί. Αυτό το επαναλαμβανόμενο μοτίβο κίνησης επιβεβαιώθηκε κατά την ανάλυση της σύλληψης δικτύου.
.webp.jpeg)
Μεταξύ των διαθέσιμων απομακρυσμένων εντολών, η εντολή /screenshot είναι ιδιαίτερα επεμβατική. Όταν εκδοθεί, το κακόβουλο λογισμικό δημιουργεί έναν φάκελο Screenshots στον τοπικό του κατάλογο και εκτελεί ένα κρυφό σενάριο PowerShell για να καταγράψει την πλήρη οθόνη, αποθηκεύοντάς το ως αρχείο PNG, χωρίς να εμφανίζει κανένα παράθυρο στον χρήστη.
Ο εισβολέας μπορεί επίσης να αποδυναμώσει τις άμυνες του συστήματος χρησιμοποιώντας την εντολή /uac-min, η οποία ορίζει το ConsentPromptBehaviorAdmin στο 0 και απενεργοποιεί το μήνυμα ασφαλούς επιφάνειας εργασίας, ενώ διατηρεί το UAC να εμφανίζεται ενεργοποιημένο για να αποφευχθεί η δημιουργία υποψιών.
Συνιστάται στους χρήστες και τις ομάδες ασφαλείας να παρακολουθούν το Windows Εκτελέστε το κλειδί μητρώου για μη εξουσιοδοτημένες καταχωρήσεις και παρακολουθήστε την εξερχόμενη κυκλοφορία HTTPS που κατευθύνεται στο api.telegram.org από άγνωστες διεργασίες.
Η ενημέρωση των συστημάτων και του λογισμικού, η αποφυγή εκτελέσιμων αρχείων από μη αξιόπιστες πηγές και η παραμονή σε εγρήγορση για τυχόν ξαφνική αδυναμία ανοίγματος του Task Manager είναι απαραίτητα βήματα για τη μείωση του κινδύνου μόλυνσης.
