Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

‘MostereRAT’ малициозен софтвер кој се вклопува, блокира безбедносни алатки

Објавено: 09.09.2025

Еден заканувач користи софистициран малициозен софтвер за убивање на EDR во кампања за одржување на долгорочен, постојан пристап на Windows системи.

Успешните фишинг кампањи обично комбинираат софистицирани тактики за измама на жртви со слоеви на прикриеност, упорност и напредни техники за избегнување, за заканувачите тивко да можат да одржат пристап низ компромитирани системи и мрежи.

Примарен пример е новата операција која вклучува употреба на банкарски малициозен софтвер – претворен во тројанец за далечински пристап (RAT) – кој истражувачите од Fortinet го следат како „MostereRAT.“ Таа врзува употреба на нејасен програмски јазик, манипулација со безбедносни алатки и злоупотреба на легитимен и широко користен софтвер за да им овозможи на сајбер-напаѓачите таен, долгорочен надзор врз околините на жртвите.

Во извештај објавен во понеделник 08.09.2025, FortiGuard Labs на Fortinet предупреди дека кампањата претставува загрижувачка ескалација во тактиките на напаѓачите, особено во однос на оневозможување на антивирус (AV) и заштита на крајни точки, како и прикривање на малициозни активности преку вклопување во нормални ИТ активности. Што се однесува до жртвите, кампањата досега ги таргетирала корисниците на Microsoft Windows во Јапонија, но крајната цел сè уште не е јасна, вели Јурен Ван, истражувач на закани во FortiGuard Labs на Fortinet.

Долгорочни стратешки цели?
„Дизајнот на малициозниот софтвер одразува долгорочни, стратешки и флексибилни цели, со способности да ја проширува функционалноста, да испорачува дополнителни товарни пакети и да применува техники за избегнување,“ вели Ван, „Овие карактеристики укажуваат на намера за одржување постојана контрола врз компромитираните системи, максимизирање на искористеноста на ресурсите на жртвите и задржување на континуиран пристап до вредни податоци,“ предупредува тој.

Фишинг кампањата започнува на доволно познат начин, со малициозни е-пораки дизајнирани да ги намамат јапонските корисници на Windows да кликнат на линк кој води до малициозна веб-страница. Страницата потоа автоматски презема оружен Word документ кој содржи вградена архивска датотека. Самите фишинг е-пораки се претставуваат како легитимна бизнис кореспонденција и изгледаат како рутински бизнис прашања.

Замката-Word документ делува како некаков вид на средство за поставување на инфраструктурата и механизмите за упорност за распоредување на MostereRAT на компромитираниот систем. Една од работите што го издвојува малициозниот софтвер е фактот дека неговите модули се напишани на Easy Programming Language (EPL), кинески програмски јазик кој заканувачите ретко го користат за развој на малициозен софтвер. Целта на користењето на EPL, според Fortinet, е да се отежни заштитата и анализата на малициозниот софтвер, бидејќи многу безбедносни алатки не се оптимизирани за обработка на овој јазик.

Откако ќе се инсталира на системот, MostereRAT го отпакува и извршува својот енкриптиран товар во фази. Анализата на Fortinet покажа дека малициозниот софтвер се состои од два главни модули. Едниот се справува со упорност, ескалација на привилегии, избегнување на AV и распоредување на товарот. Другиот модул ја обезбедува основната RAT функционалност и содржи дури 37 командни функции, поддршка за безбедни двонасочни автентицирани (mTLS) комуникации за команда-и-контрола, и распоредување на алатки за далечински пристап.

Особено загрижувачки способности
Fortinet посочи неколку способности на MostereRAT кои се особено проблематични за одбраната. Една е можноста малициозниот софтвер да се извршува како „TrustedInstaller“ на инфицираниот систем, давајќи си привилегии за модифицирање на системски датотеки, записи во регистарот и безбедносни поставки до кои дури ни администраторите не секогаш имаат пристап. Друга е способноста на MostereRAT да распоредува легитимни алатки за далечински пристап, AnyDesk и TightVNC, на компромитирани машини, со што на напаѓачите им се овозможува целосна далечинска контрола врз компромитиран систем без подигнување на аларми.

MostereRAT исто така содржи хардкодирани листи со бројни имиња на AV и EDR производи и нивните патеки на инсталација, за систематски да може да ги пронајде и оневозможи; меѓу нив се Windows Defender, ESET, Avira, Avast, Malwarebytes, AVG, Kaspersky, Bitdefender, Norton, Symantec, McAfee, како и кинески производи како 360 Safe, Kingsoft Antivirus и Tencent PC Manager. Потоа малициозниот софтвер користи таканаречени Windows Filtering Platform (EFP) филтри за да ги блокира безбедносните производи од испраќање податоци за детекција, аларми, логови на настани и друга телеметрија. Таа конкретна тактика, според Fortinet, изгледа е преземена од алатка за red-teaming наречена EDRSilencer.

Откако ќе се инсталира, MostereRAT им овозможува на напаѓачите да ги евидентираат внесените тастери, да извезуваат чувствителни податоци, да креираат скриени администраторски сметки и да користат AnyDesk или TightVNC за долгорочен пристап, вели Ван.

„Главната поука е дека иако овој малициозен софтвер користи некои креативни техники за да ја избегне детекцијата … сепак следи вообичаен шаблон на искористување на прекумерно привилегирани корисници и крајни точки без контрола на апликации,“ вели Џејмс Мод, полев главен технолошки директор (CTO) во BeyondTrust. „Како што напаѓачите ги еволуираат своите техники со креативни методи за избегнување на детекцијата, од витално значење е организациите да ги отстранат локалните администраторски привилегии на корисниците.“

Многу малициозни кампањи се потпираат на ескалација на привилегии за да манипулираат со безбедносни контроли, да инсталираат малициозен софтвер и да собираат податоци, забележува тој. „Ако ги отстраните локалните администраторски привилегии, драстично ја намалувате површината за напад и го ограничувате влијанието на малициозната инфекција.“

Кампањата MostereRAT исто така ја истакнува важноста на блокирањето на неприфатени алатки за далечински пристап, кои често ги користат заканувачите за да добијат пристап и да одржат упорност. Бидејќи овие алатки се легитимни и потпишани од доверливи добавувачи, малку е веројатно дека ќе бидат детектирани како малициозни од EDR решенијата.

„Организациите треба да го следат и идеално да го блокираат користењето на неприфатени алатки за далечински пристап,“ вели Мод, „особено оние кои може слободно да се преземат.“

Извори:

  • Darkreading – „’MostereRAT’ Malware Blends In, Blocks Security Tools“.Darkreading