CodeRATのソースコードが公開されました。
CodeRATはリモートアクセストロイです。
こんな感じです。
- 多機能
約50のコマンドが実装済みとなったRATです。
とても多機能です。
ドライブ一覧機能、スクリーンショット機能、システム情報収集、クリップボード取得、プロセス一覧取得、インストール済みアプリの取得、ファイル一覧機能、ファイル入手機能、ファイルアップロード機能、ファイル削除機能、ファイル置き換え機能、プロセス停止機能、コマンド遅延実行機能、などが実装されています。 - 自由度のあるコマンド投入
3つの方法でRATにコマンドを投入できます。
ローカルファイルでコマンドを渡す、GUIのコマンド投入アプリからコマンドを渡す、プロキシ経由でTelegramボットAPIで渡す、を選択できます。 - 専用のC2を持たない
CodeRATは専用のC2を持ちません。
匿名のアップロードサイトをC2サーバとして使用します。
このマルウェアはペルシャ語を話すソフトウェア開発者を標的としたキャンペーンで展開されていました。
そのキャンペーンを調査する研究者がマルウェアの開発者にたどり着いたとき、開発者はキャンペーンを停止しソースコードを公開しました。
公開されたソースコードは、別の新たなアクターの知識となってしまうかもしれません。
あるいは別の新たなマルウェアのベースとなってしまうかもしれません。
防御側も継続的に改善を進めていかねばという気持ちになります。
参考記事(外部リンク):SafeBreach Labs Researchers Uncover New Remote Access Trojan
(RAT)
securityboulevard.com/2022/08/safebreach-labs-researchers-uncover-new-remote-access-trojan-rat/
| この記事をシェア |
|
|---|
