Täiustatud kaugjuurdepääsu troojalase SilverRAT taga oleval rühmal on lingid nii Türgi kui ka Süüriaga ning ta kavatseb välja anda tööriista uuendatud versiooni, et võimaldada kontrollida ohustatud Windowsi süsteeme ja Android-seadmeid.
3. jaanuaril avaldatud ohuanalüüsi kohaselt võimaldab SilverRAT v1 – mis praegu töötab ainult Windowsi süsteemides – luua pahavara klahvilogimise ja lunavararünnakute jaoks ning sisaldab hävitavaid funktsioone, näiteks võimalust kustutada süsteemi taastepunkte, teatasid teadlased Singapuris asuv Cyfirma märkis oma analüüsis.
SilverRAT Builder võimaldab mitmesuguseid funktsioone
SilverRAT näitab, et piirkonna küberkurjategijate rühmitused muutuvad Cyfirma analüüsi kohaselt keerukamaks. SilverRATi esimene versioon, mille lähtekoodi lekitasid oktoobris tundmatud näitlejad, koosneb ehitajast, mis võimaldab kasutajal konstrueerida spetsiifiliste funktsioonidega kaugjuurdepääsuga troojalase.
Cyfirma analüüsi kohaselt on huvitavamad funktsioonid IP-aadressi või veebilehe kasutamine käsu ja juhtimise jaoks, viirusetõrjetarkvara möödaviigud, süsteemi taastepunktide kustutamise võimalus ja kasulike koormuste viivitus.
Cyfirma analüüsi kohaselt on nii SilverRATi kui ka eelmise programmi S500 RAT arendajad vähemalt kaks ohus osalejat – üks, kes kasutab käepidet “Ohtlik hõbe” ja teine “Monstermc”. Häkkerid tegutsevad Telegramis ja veebifoorumite kaudu, kus nad müüvad pahavara teenusena, levitavad teiste arendajate murtud RAT-e ja pakuvad mitmesuguseid muid teenuseid. Lisaks on neil blogi ja veebisait nimega Anonymous Arabic.
"SilverRATi haldavad kaks inimest," ütleb Cyfirma ohuteadlane Rajhans Patel. "Oleme suutnud koguda ühe arendaja kohta fototõendeid."
Alustades foorumitest
Pahavara taga asuv rühmitus, nimega Anonymous Arabic, tegutseb Lähis-Ida foorumites, nagu Turkhackteam, 1877, ja vähemalt ühes Venemaa foorumis.
Lisaks SilverRAT-i arendamisele pakuvad grupi arendajad nõudmisel hajutatud teenusekeelu (DDoS) rünnakuid, ütleb Cyfirma Researchi meeskonna ohuteadlane Koushik Pal.
"Oleme täheldanud Anonymous Arabici tegevust alates 2023. aasta novembri lõpust," ütleb ta. "Teadaolevalt kasutavad nad Telegramis reklaamitavat robotvõrku, mida tuntakse kui "BossNet", et korraldada DDOS-i rünnakuid suurte üksuste vastu."
Kui Lähis-Ida ohumaastikul on domineerinud Iraani ja Iisraeli riiklikud ja riiklikult toetatud häkkimisrühmad, domineerivad küberkuritegevuse turgudel jätkuvalt kodumaised rühmad, nagu Anonymous Arabic. Selliste tööriistade nagu SilverRAT pidev arendamine tõstab esile piirkonna maa-aluste turgude dünaamilist olemust.
SilverRAT armatuurlaud troojalaste loomiseks. Allikas: Cyfirma
Häkkimisrühmad Lähis-Idas kipuvad olema üsna erinevad, ütleb Sarah Jones, hallatava avastamise ja reageerimise ettevõtte Critical Start küberohtude luureuuringute analüütik, kes hoiatas, et üksikud häkkimisrühmad arenevad pidevalt ja nende omaduste üldistamine võib olla problemaatiline.
"Tehnilise keerukuse tase on Lähis-Ida rühmade vahel väga erinev, " ütleb ta. "Mõnel riigi toetatud näitlejal on täiustatud võimed, samas kui teised toetuvad lihtsamatele tööriistadele ja tehnikatele."
Värav läbi mänguhäkkide
Vastavalt Cyfirma teadlaste kogutud andmetele, sealhulgas ühe häkkeri Facebooki profiilile, YouTube'i kanalile ja sotsiaalmeedia postitustele, on vähemalt üks grupi Anonymous Arabic liikmetest endine mänguhäkker. 20. eluaastate alguses, kes elab Süürias Damaskuses ja hakkas häkkima teismelisena.
Noorte häkkerite profiil, kes lõikavad hambaid mängude jaoks ärakasutamiste leidmisel, ületab Lähis-Ida häkkimiskogukonna. Trendiks on saanud teismelised, kes alustavad häkkimiskarjääri mänguhäkkide loomise või mängusüsteemide vastu suunatud teenuse keelamise rünnakute käivitamisega. Arion Kurtaj, liige grupp Lapsus$, alustas Minecrafti häkkerina ja liikus hiljem häkkimise sihtmärkideni, nagu Microsoft, Nvidia ja mängutootja Rockstar.
"Me näeme sarnast suundumust ka SilverRATi arendaja puhul," ütleb Cyfirma ohtude uurija Rajhans Patel, lisades ohuanalüüsis: "Arendaja varasemate postituste ülevaatamine paljastab erinevate FPS-mängude pakkumise ajaloo. häkid ja modifikatsioonid."
USA sisejulgeolekuministeeriumi küberohutuse ülevaatuse nõukogu (CSRB), mis viib läbi suuremate häkkide surmajärgset analüüsi, tuvastas eksistentsiaalse ohuna pideva torujuhtme alaealistest häkkeritest küberkurjategijateni. Valitsused ja eraorganisatsioonid peaksid kehtestama terviklikud programmid, et suunata alaealised küberkuritegevusest eemale, leidis CSRB oma analüüsi Lapsus$ grupi edu kohta rünnates "mõned maailma kõige paremini varustatud ja kõige paremini kaitstud ettevõtted".
Kuid noored programmeerijad ja tehnoloogiateadlikud teismelised leiavad sageli ka teisi võimalusi küberkurjategijate hulka sattuda, ütleb Critical Starti Jones.
"Häkkerid, nagu iga elanikkonnarühm, on erinevad isikud, kellel on erinev motivatsioon, oskused ja lähenemisviisid," ütleb ta. "Kuigi mõned häkkerid võivad alustada mänguhäkkidest ja minna üle tõsisemate tööriistade ja tehnikate juurde, avastame sageli, et küberkurjategijad kipuvad sihikule võtma nõrgema küberkaitsega tööstusharusid ja riike."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/cyberattacks-data-breaches/syrian-threat-group-peddles-destructive-silverrat
