{"id":8611,"date":"2025-11-22T19:49:16","date_gmt":"2025-11-22T18:49:16","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=8611"},"modified":"2025-11-22T19:49:16","modified_gmt":"2025-11-22T18:49:16","slug":"lazarus-apt-koristi-scoringmathtea-rat","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2025\/11\/22\/lazarus-apt-koristi-scoringmathtea-rat\/","title":{"rendered":"Lazarus APT koristi ScoringMathTea RAT"},"content":{"rendered":"<p><em>Lazarus<\/em> <em>APT<\/em> koristi <em>ScoringMathTea<\/em> <em>RAT<\/em> kako bi izbjegao otkrivanje tokom ciljano vo\u0111enih \u0161pijunskih kampanja usmjerenih protiv osjetljivih tehnolo\u0161kih sektora \u0161irom svijeta. <a href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/gotta-fly-lazarus-targets-uav-sector\/\" target=\"_blank\" rel=\"noopener\">Istra\u017eivanja kompanije <em>ESET<\/em><\/a> su nedavno ukazala na njegov modularni dizajn i prikrivene funkcije, nagla\u0161avaju\u0107i sposobnost ovog <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> da se prilagodi i iskoristi napredne metode dru\u0161tvenog in\u017eenjeringa.<\/p>\n<div id=\"attachment_8612\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-8612\" class=\"size-full wp-image-8612\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/ScoringMathTea-RAT-malware.jpg\" alt=\"ScoringMathTea RAT\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/ScoringMathTea-RAT-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/ScoringMathTea-RAT-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/ScoringMathTea-RAT-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/ScoringMathTea-RAT-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/ScoringMathTea-RAT-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/ScoringMathTea-RAT-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/11\/ScoringMathTea-RAT-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-8612\" class=\"wp-caption-text\"><em>Lazarus APT koristi ScoringMathTea RAT; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2025\/11\/22\/lazarus-apt-koristi-scoringmathtea-rat\/#OPERACIJA_GOTTA_FLY\">OPERACIJA GOTTA FLY<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2025\/11\/22\/lazarus-apt-koristi-scoringmathtea-rat\/#ScoringMathTea_RAT\">ScoringMathTea RAT<\/a><ul class='ez-toc-list-level-4' ><li class='ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2025\/11\/22\/lazarus-apt-koristi-scoringmathtea-rat\/#Komandovanje_i_kontrola\">Komandovanje i kontrola<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2025\/11\/22\/lazarus-apt-koristi-scoringmathtea-rat\/#Ucitavanje_i_izvrsavanje_dodataka\">U\u010ditavanje i izvr\u0161avanje dodataka<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-4'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"http:\/\/sajberinfo.com\/en\/2025\/11\/22\/lazarus-apt-koristi-scoringmathtea-rat\/#Mehanizmi_izbjegavanja_i_izazovi_otkrivanja\">Mehanizmi izbjegavanja i izazovi otkrivanja<\/a><\/li><\/ul><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"http:\/\/sajberinfo.com\/en\/2025\/11\/22\/lazarus-apt-koristi-scoringmathtea-rat\/#UTICAJ\">UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"http:\/\/sajberinfo.com\/en\/2025\/11\/22\/lazarus-apt-koristi-scoringmathtea-rat\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"http:\/\/sajberinfo.com\/en\/2025\/11\/22\/lazarus-apt-koristi-scoringmathtea-rat\/#PREPORUKE\">PREPORUKE<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"OPERACIJA_GOTTA_FLY\"><\/span><strong>OPERACIJA<em> GOTTA FLY<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Kampanje sajber \u0161pijuna\u017ee koje sprovode <a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">napredne trajne prijetnje<\/a> (eng. <em>advanced persistent threat \u2013 APT<\/em>) posljednjih godina postale su znatno razvijenije. Me\u0111u njima se posebno isti\u010de grupa <em>Lazarus APT<\/em>, povezana sa Sjevernom Korejom, poznata po svojoj aktivnosti i inovativnim taktikama.<\/p>\n<p>U oktobru 2025. sigurnosni istra\u017eiva\u010di otkrili su novu fazu sajber operacije u okviru kampanje ranije nazvane \u201c<em>Operacija DreamJob<\/em>\u201d. Ova akcija bila je usmjerena na kompanije koje se bave proizvodnjom bespilotnih letjelica (eng. <em>unmanned aerial vehicles \u2013 UAV<\/em>), a koje snabdijevaju Ukrajinu naprednom tehnologijom. Primarni cilj operacije bio je kra\u0111a osjetljivih podataka i intelektualne svojine od organizacija koje se nalaze na meti.<\/p>\n<p>Grupa <em>Lazarus APT<\/em> tokom godina je povezivana sa brojnim incidentima visokog profila. Njihov na\u010din rada obi\u010dno podrazumijeva upotrebu prilago\u0111enog zlonamjernog softvera osmi\u0161ljenog da izbjegne otkrivanje alatima zasnovanim na potpisima. Takav pristup im omogu\u0107ava da du\u017ee ostanu neprimije\u0107eni i da prikupe \u0161to vi\u0161e informacija.<\/p>\n<p>Naziv nove podkampanje, \u201c<em>Gotta Fly<\/em>\u201d, dali su istra\u017eiva\u010di kompanije <em>ESET<\/em> koji su je otkrili u oktobru 2025. Ova oznaka jasno ukazuje na fokus grupe \u2013 ometanje kriti\u010dne infrastrukture povezane sa proizvodnjom bespilotnih letjelica. Kompanije koje su bile na meti vjerovatno su uklju\u010dene u snabdijevanje Ukrajine, \u0161to ih \u010dini posebno osjetljivim u kontekstu me\u0111unarodnih tenzija i u\u010destalih sajber napada.<\/p>\n<p>Glavno oru\u017eje kori\u0161teno u ovim napadima bio je <em>ScoringMathTea<\/em><em> RAT<\/em>, napredni <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanac<\/a> za daljinski pristup (eng. <em>remote access trojan \u2013 RAT<\/em>). Ovaj zlonamjerni softver funkcioni\u0161e kao modularni <em>DLL<\/em> i koristi slo\u017eene tehnike kako bi izbjegao otkrivanje od strane bezbjednosnih alata. Dodatno, upotreba zamr\u0161enih nizova znakova za prikrivanje adresa komandovanja i kontrole (<em>C&amp;C<\/em>) ote\u017eava stati\u010dku analizu, \u0161to <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosnim istra\u017eiva\u010dima<\/a> predstavlja ozbiljan izazov prilikom poku\u0161aja obrnutog in\u017einjeringa.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"ScoringMathTea_RAT\"><\/span><strong><em>ScoringMathTea RAT<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><em>ScoringMathTea RAT<\/em> je napisan u <em>C++<\/em> i osmi\u0161ljen kao modularni <em>DLL<\/em>, \u0161to operaterima omogu\u0107ava da jednostavno mijenjaju ili dodaju nove funkcionalnosti. Kada se u\u010dita u memoriju, ovaj zlonamjerni softver pokre\u0107e konfiguracionu strukturu koja sadr\u017ei <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovane<\/a> adrese servera za komandovanje i kontrolu (<em>C&amp;C<\/em>), <em>ID<\/em> kampanje i druge operativne parametre.<\/p>\n<p><a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0160ifrovanje<\/a> ovih osjetljivih podataka obezbje\u0111uje da, \u010dak i ako sigurnosni istra\u017eiva\u010di otkriju softver, ne\u0107e mo\u0107i lako da de\u0161ifruju <em>C&amp;C<\/em> adrese niti da sagledaju puni obim operacije. Ovakav nivo prikrivanja karakteristi\u010dan je za napredne <em>APT<\/em> grupe poput <em>Lazarus<\/em>.<\/p>\n<p>Jedna od klju\u010dnih osobina zlonamjernog softvera <em>ScoringMathTea RAT<\/em> jeste sposobnost dinami\u010dkog rje\u0161avanja <em>API<\/em> poziva pomo\u0107u prilago\u0111enog algoritma za sa\u017eetak podataka (eng. <em>hash<\/em>). Softver analizira <em>DLL<\/em> izvoze, pravi sa\u017eetak imena <em>API<\/em> funkcija i rje\u0161ava ih tokom izvr\u0161avanja, \u010dime izbjegava otkrivanje alatima zasnovanim na potpisima. Na taj na\u010din trojanac za daljinski pristup (<em>RAT<\/em>) odr\u017eava \u010distu <em>API<\/em> tabelu, a ipak nastavlja da izvr\u0161ava zlonamjerni k\u00f4d.<\/p>\n<p>Pored toga, trojanac <em>ScoringMathTea RAT<\/em> koristi tehniku <em>PEB walking<\/em> kako bi locirao <em>kernel32.dll<\/em> i ru\u010dno dobio <em>API<\/em> pokaziva\u010de. Ovaj pristup mu omogu\u0107ava da zaobi\u0111e mehanizme <em>API<\/em> poziva koje koriste pojedini bezbjednosni softveri. Kombinacija navedenih metoda \u010dini detekciju tradicionalnim alatima zasnovanim na potpisima izuzetno zahtjevnom.<\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Komandovanje_i_kontrola\"><\/span><strong>Komandovanje i kontrola<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p>Komunikacija izme\u0111u inficiranog sistema i servera za komandovanje i kontrolu (<em>C&amp;C<\/em>) zlonamjernog softvera <em>ScoringMathTea RAT<\/em> odvija se preko <em>HTTP\/HTTPS<\/em> protokola, \u010dime se obezbje\u0111uje da prenos podataka ostane \u0161ifrovan tokom cijelog procesa. <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">Korisni teret<\/a> se dodatno prikriva kroz kombinaciju <em>TEA\/XTEA<\/em> algoritama u <em>CBC<\/em> re\u017eimu, <em>Base64<\/em> k\u00f4diranja i opcionalne kompresije.<\/p>\n<p>Da bi se uklopio u regularni mre\u017eni saobra\u0107aj, softver falsifikuje legitiman niz korisni\u010dkog agenta <em>Microsoft Edge<\/em>, \u0161to bezbjednosnim analiti\u010darima ote\u017eava razlikovanje uobi\u010dajene od zlonamjerne aktivnosti. Uz to, <em>ScoringMathTea RAT<\/em> uklanja <em>HTML<\/em> zaglavlja iz <em>C&amp;C <\/em>odgovora, vjerovatno kao poku\u0161aj da izbjegne analizu u izolovanom okru\u017eenju (eng. <em>sandbox<\/em>) ili zatvorenim portalima koje istra\u017eiva\u010di koriste.<\/p>\n<p>Agent odr\u017eava periodi\u010dni signal svakih 60 sekundi, \u0161alju\u0107i prividno nasumi\u010dne pakete podataka kako bi prikrio svoju prisutnost. Ovakav na\u010din rada obezbje\u0111uje da, \u010dak i kada se softver otkrije, ne pru\u017ea odmah jasne dokaze o zlonamjernom pona\u0161anju, ve\u0107 se stvarni obim aktivnosti otkriva tek kasnije u lancu infekcije.<\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Ucitavanje_i_izvrsavanje_dodataka\"><\/span><strong>U\u010ditavanje i izvr\u0161avanje dodataka<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p>Jedna od klju\u010dnih osobina zlonamjernog softvera <em>ScoringMathTea RAT<\/em> jeste sposobnost da u\u010ditava i izvr\u0161ava dodatke direktno u memoriji koriste\u0107i reflektivnu <em>DLL<\/em> injekciju. Softver ru\u010dno mapira <em>PE<\/em> datoteku dodatka, izra\u010dunava <em>CRC32<\/em> kontrolnu sumu radi provjere integriteta i primjenjuje odgovaraju\u0107e za\u0161tite memorije prije nego \u0161to pokrene izvezenu funkciju.<\/p>\n<p>Ova tehnika omogu\u0107ava <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> da rasporede dodatne module bez upisivanja na disk, \u0161to zna\u010dajno ote\u017eava otkrivanje i analizu. Dinami\u010dkim u\u010ditavanjem dodataka u memoriju, <em>ScoringMathTea RAT<\/em> mo\u017ee da prilago\u0111ava svoje pona\u0161anje u stvarnom vremenu, u skladu sa operativnim zahtjevima ili iskori\u0161tavanjem novootkrivenih ranjivosti.<\/p>\n<p>Kori\u0161tenje reflektivne <em>DLL<\/em> injekcije dodatno omogu\u0107ava softveru da zaobi\u0111e tradicionalne bezbjednosne mjere koje se oslanjaju na potpise zasnovane na datotekama ili provjere sa\u017eetaka podataka. Na ovaj na\u010din, \u010dak i ako se otkrije potpis za jednu verziju dodatka, naknadna a\u017euriranja ostaju neuhva\u0107ena ovim mehanizmima.<\/p>\n<p>&nbsp;<\/p>\n<h4><span class=\"ez-toc-section\" id=\"Mehanizmi_izbjegavanja_i_izazovi_otkrivanja\"><\/span><strong>Mehanizmi izbjegavanja i izazovi otkrivanja<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h4>\n<p><em>ScoringMathTea RAT<\/em> primjenjuje niz mehanizama izbjegavanja osmi\u0161ljenih da ote\u017eaju otkrivanje i analizu od strane branilaca. Jedan od njih podrazumijeva sakrivanje tragova koje softver ostavlja tokom izvr\u0161avanja, \u0161to mo\u017ee obuhvatiti privremene datoteke, unose u registar ili druge oblike dokaza koji bi mogli ukazivati na njegovo prisustvo.<\/p>\n<p>Poseban dio ovih tehnika jeste suzbijanje dijaloga o sistemskim gre\u0161kama, koji se ina\u010de pojavljuju kada program nai\u0111e na neo\u010dekivano stanje ili izuzetak. Sakrivanjem takvih poruka, zlonamjerni softver ote\u017eava braniocima da prepoznaju nepravilnosti u njegovom pona\u0161anju ili konfiguraciji.<\/p>\n<p>Jo\u0161 jedan mehanizam izbjegavanja zasniva se na izra\u010dunavanju <em>CRC32<\/em> kontrolnih suma radi provjere integriteta i otkrivanja poku\u0161aja neovla\u0161tenog mijenjanja. Na taj na\u010din se osigurava da se izvr\u0161ava isklju\u010divo predvi\u0111eni zlonamjerni k\u00f4d, uz dodatni sloj za\u0161tite od potencijalnog otkrivanja.<\/p>\n<p>Kombinacija ovih mjera \u010dini identifikaciju i ubla\u017eavanje prisustva zlonamjernog softvera <em>ScoringMathTea RAT<\/em> u mre\u017eama izuzetno zahtjevnim. Prilago\u0111avanjem pona\u0161anja, sakrivanjem tragova, suzbijanjem sistemskih poruka i provjerom integriteta, ovaj softver uspijeva da odr\u017ei nizak profil dok nastavlja sa izvr\u0161avanjem svojih funkcija.<\/p>\n<p>Osim toga, ovakve tehnike omogu\u0107avaju da <em>ScoringMathTea RAT<\/em> efikasno reaguje na promjenljiva okru\u017eenja i bezbjednosne mjere, prilago\u0111avaju\u0107i se potrebama u realnom vremenu. Upravo ta prilagodljivost ote\u017eava braniocima razvoj trajno efikasnih kontramjera, jer moraju neprekidno da a\u017euriraju strategije otkrivanja i za\u0161tite u skladu sa evolucijom taktika zlonamjernog softvera.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Pojava zlonamjernog softvera <em>ScoringMathTea<\/em> <em>RAT<\/em> ima ozbiljan uticaj na pojedince i organizacije. Ovaj modularni trojanac za udaljeni pristup (<em>RAT<\/em>) osmi\u0161ljen je da izbjegne otkrivanje kako na mre\u017enom nivou, tako i na krajnjim ta\u010dkama, \u010dime tradicionalne bezbjednosne mjere postaju nedovoljno efikasne protiv njegove arhitekture. Zbog toga korisnici ostaju ranjivi na napade aktera koji ovu ranjivost mogu iskoristiti sa relativnom lako\u0107om.<\/p>\n<p>Posljedice njegovog prisustva u ekosistemu organizacije te\u0161ko je precijeniti. Zahvaljuju\u0107i mogu\u0107nosti da u\u010ditava dodatke direktno u memoriju, zlonamjerni akteri mogu izvr\u0161avati proizvoljan k\u00f4d bez ostavljanja vidljivih digitalnih tragova. To bezbjednosnim timovima ote\u017eava pravovremeno otkrivanje i obuzdavanje prijetnje, pa \u0161teta \u010desto nastaje prije nego \u0161to se reaguje. Dodatno, vi\u0161eslojni komunikacioni kanal koji koristi<em> ScoringMathTea RAT<\/em> \u0161titi servere za komandovanje i kontrolu od analize i znati\u017eeljnih pogleda.<\/p>\n<p>Uticaj na krajnje korisnike tako\u0111e je zna\u010dajan. Kao modularni trojanac za udaljeni pristup (<em>RAT<\/em>), ovaj softver se lako prilago\u0111ava promjenljivim okolnostima, \u0161to ga \u010dini pogodnim za ciljane napade. To zna\u010di da pojedinci i organizacije moraju biti stalno oprezni kako ne bi postali \u017ertve aktera koji su usavr\u0161ili ovu vrstu sajber napada.<\/p>\n<p>Najkriti\u010dniji aspekt njegove prijetnje le\u017ei u sposobnosti da zaobi\u0111e tradicionalne bezbjednosne mjere. Ru\u010dno mapiranje dodataka predstavlja naro\u010dito podmuklu taktiku, jer omogu\u0107ava zlonamjernim akterima da ostanu skriveni i dok nanose \u0161tetu sistemima i podacima organizacije.<\/p>\n<p>U svjetlu ovih \u010dinjenica jasno je da <em>ScoringMathTea RAT<\/em> predstavlja ozbiljnu prijetnju <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a>. Njegova arhitektura i sposobnost prikrivanja \u010dine ga mo\u0107nim alatom u rukama zlonamjernih aktera, spremnih da iskoriste ranjivosti sa velikom efikasno\u0161\u0107u.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Analiza zlonamjernog softvera <em>ScoringMathTea RAT<\/em> otkriva njegovu primarnu funkciju kao trojanca za udaljeni pristup (<em>RAT<\/em>), osmi\u0161ljenog da zlonamjernim akterima pru\u017ei \u0161irok spektar mogu\u0107nosti. To obuhvata daljinsko izvr\u0161avanje komandi, u\u010ditavanje i pokretanje dodataka direktno u memoriji i druge napredne funkcije. Sposobnost da se prilago\u0111ava i evoluira \u010dini ga posebno te\u0161kim za otkrivanje i analizu.<\/p>\n<p>Dizajn ovog softvera omogu\u0107ava operaterima da na daljinu izvr\u0161avaju razli\u010dite komande, \u0161to ga \u010dini efikasnim alatom za zlonamjerne aktivnosti. Njegova funkcija u\u010ditavanja dodataka u memoriju pro\u0161iruje mogu\u0107nosti i daje mu fleksibilnost da se prilagodi specifi\u010dnim operativnim potrebama. Ovaj modularni pristup olak\u0161ava promjene i prilago\u0111avanje u skladu sa zahtjevima napada.<\/p>\n<p>Va\u017eno je naglasiti da trojanac koristi <em>API<\/em> sa\u017eetak podataka kao tehniku za identifikaciju <em>API<\/em> okru\u017eenja. Na taj na\u010din <em>ScoringMathTea RAT<\/em> dinami\u010dki rje\u0161ava <em>API<\/em> pozive tokom izvr\u0161avanja, bez oslanjanja na eksplicitne uvoze ili izvoze, \u0161to dodatno ote\u017eava njegovo otkrivanje.<\/p>\n<p>Mogu\u0107nosti softvera osmi\u0161ljene su sa naglaskom na fleksibilnost. Kombinacija daljinskog izvr\u0161avanja komandi, dinami\u010dkog u\u010ditavanja dodataka i prilago\u0111avanja putem <em>API<\/em> sa\u017eetka podataka \u010dini ga mo\u0107nim alatom u rukama zlonamjernih aktera. Razumijevanje ovih karakteristika klju\u010dno je za razvoj efikasnih odbrambenih mjera protiv ovakvih prijetnji.<\/p>\n<p>Analiza nagla\u0161ava potrebu da se razmotre svi aspekti dizajna zlonamjernog softvera <em>ScoringMathTea RAT<\/em> prilikom procjene njegovih mogu\u0107nosti. Detaljnim ispitivanjem svake komponente istra\u017eiva\u010di mogu ste\u0107i dragocjene uvide u na\u010dine kako ubla\u017eiti rizike povezane sa trojancima za udaljeni pristup poput ovog.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"PREPORUKE\"><\/span><strong>PREPORUKE<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>S obzirom na pojavu novih prijetnji, me\u0111u kojima se posebno isti\u010de zlonamjerni softver <em>ScoringMathTea RAT<\/em>, organizacije i pojedinci moraju preduzeti proaktivne mjere radi za\u0161tite svojih sistema. Ovaj trojanac za udaljeni pristup (<em>RAT<\/em>) pokazuje sposobnost da zaobi\u0111e tradicionalne bezbjednosne mehanizme, pa se odbrana mora zasnivati na stalnom prilago\u0111avanju i unapre\u0111ivanju strategija. Sljede\u0107e preporuke pru\u017eaju sveobuhvatan vodi\u010d o tome kako se za\u0161tititi od ove prijetnje:<\/p>\n<ol>\n<li>Osigurati da su sve krajnje ta\u010dke (ra\u010dunari, laptopovi, mobilni ure\u0111aji) opremljene a\u017euriranim <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusnim softverom<\/a> i renomiranim bezbjednosnim paketom koji uklju\u010duje funkcije poput analize u izolovanom okru\u017eenju i skeniranja memorije. Redovno a\u017eurirajte ove alate kako biste bili ispred novih prijetnji.<\/li>\n<li>Sprovoditi temeljne procjene rizika infrastrukture organizacije, identifikuju\u0107i potencijalne ranjivosti u sistemima, mre\u017eama i aplikacijama. Ovo \u0107e pomo\u0107i u odre\u0111ivanju oblasti gdje <em>ScoringMathTea RAT<\/em> ili sli\u010dan zlonamjerni softver mogu iskoristiti ranjivosti.<\/li>\n<li>Potrebno je uvesti kontrolu pristupa zasnovanu na ulogama (eng. <em>role-based access control \u2013 RBAC<\/em>) kako bi se korisni\u010dke privilegije ograni\u010dile i sprije\u010dio neovla\u0161teni pristup osjetljivim podacima. Tako\u0111e, va\u017eno je obezbijediti da svi korisnici budu autentifikovani pomo\u0107u jakih <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinki<\/a>, autentifikacije u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>) ili biometrijskih metoda provjere.<\/li>\n<li>Potrebno je podesiti sisteme za detekciju upada i sisteme za sprje\u010davanje upada kako bi se pratila mre\u017ena aktivnost i otkrili sumnjivi obrasci koji mogu ukazivati na infekcije zlonamjernim softverom. Jednako je va\u017eno redovno pregledati sistemske zapise ovih sistema, jer se na taj na\u010din mogu identifikovati potencijalni bezbjednosni incidenti i pravovremeno reagovati.<\/li>\n<li>Potrebno je razviti <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">plan odgovora na sajber prijetnje<\/a> koji opisuje procedure za otkrivanje, obuzdavanje, iskorjenjivanje i oporavak od zlonamjernog softvera <em>ScoringMathTea RAT<\/em> ili sli\u010dnih napada. Va\u017eno je da cijelo osoblje bude obu\u010deno za primjenu ovog plana i da razumije svoje uloge u reagovanju na takve doga\u0111aje.<\/li>\n<li>Redovno a\u017eurirati operativne sisteme, aplikacije i dodatke najnovijim bezbjednosnim ispravkama. Ovo \u0107e pomo\u0107i u sprje\u010davanju iskori\u0161tavanja poznatih ranjivosti od strane zlonamjernog softvera poput <em>ScoringMathTea RAT<\/em>.<\/li>\n<li>Osjetljivi podaci treba da se prenose isklju\u010divo kori\u0161tenjem \u0161ifrovanih kanala (npr. <em>HTTPS<\/em>), kako bi bili za\u0161ti\u0107eni od napada prislu\u0161kivanja ili presretanja. Ovakav na\u010din prenosa obezbje\u0111uje da povjerljive informacije ostanu nedostupne neovla\u0161tenim licima i da se o\u010duva bezbjednost komunikacije.<\/li>\n<li>Privilegije i prava pristupa korisnika, aplikacija i usluga treba ograni\u010diti isklju\u010divo na ono \u0161to je neophodno za obavljanje njihovih funkcija. Na taj na\u010din se smanjuje <a href=\"https:\/\/sajberinfo.com\/en\/2023\/03\/24\/povrsina-napada-uvod-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">povr\u0161ina za napad<\/a> i ote\u017eava djelovanje zlonamjernog softvera poput <em>ScoringMathTea RAT<\/em>.<\/li>\n<li><a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">Rezervne kopije<\/a> kriti\u010dnih sistema i podataka treba redovno praviti kori\u0161tenjem bezbjednih metoda (npr. <em>\u0161ifrovanje<\/em>), kako bi se obezbijedio kontinuitet poslovanja u slu\u010daju bezbjednosnog incidenta ili kvara sistema. Ovakva praksa omogu\u0107ava da se povratak u radno stanje izvr\u0161i brzo i pouzdano, uz o\u010duvanje integriteta i dostupnosti podataka.<\/li>\n<li>Potrebno je implementirati robustan mehanizam evidentiranja kroz postavljanje centralizovanih rje\u0161enja za upravljanje zapisima, koja prikupljaju, \u010duvaju i analiziraju podatke iz razli\u010ditih izvora u infrastrukturi organizacije. Na ovaj na\u010din olak\u0161ava se identifikacija potencijalnih bezbjednosnih incidenata, uklju\u010duju\u0107i one povezane sa zlonamjernim softverom <em>ScoringMathTea RAT<\/em>.<\/li>\n<li>Periodi\u010dne testove penetracije treba sprovoditi na sistemima i mre\u017eama kako bi se simulirali napadi iz stvarnog svijeta od strane vje\u0161tih protivnika, uklju\u010duju\u0107i one koji stoje iza zlonamjernog softvera <em>ScoringMathTea RAT<\/em>. Ovakvi testovi omogu\u0107avaju da se na vrijeme otkriju ranjivosti i preduzmu mjere za\u0161tite prije nego \u0161to ih iskoriste zlonamjerni akteri.<\/li>\n<li>Svi mre\u017eni ure\u0111aji, kao \u0161to su ruteri, svi\u010devi i za\u0161titni zidovi, treba da budu bezbjedno konfigurisani sa jakim lozinkama, odgovaraju\u0107im kontrolama pristupa i a\u017euriranim upravlja\u010dkim softverom ili softverskim ispravkama. Na ovaj na\u010din obezbje\u0111uje se stabilnost infrastrukture i smanjuje rizik od zloupotrebe ranjivosti koje zlonamjerni akteri mogu iskoristiti.<\/li>\n<li>Potrebno je implementirati rje\u0161enja za pra\u0107enje zasnovana na pona\u0161anju, kako bi se otkrile anomalije u aktivnosti sistema koje mogu ukazivati na infekcije zlonamjernim softverom poput <em>ScoringMathTea RAT<\/em>. Ovakav pristup omogu\u0107ava pravovremeno prepoznavanje neuobi\u010dajenih obrazaca i smanjuje rizik od \u0161irenja napada kroz infrastrukturu.<\/li>\n<li>Redovna obuka o sajber bezbjednosti treba da bude obezbije\u0111ena za sve zaposlene, kako bi nau\u010dili da prepoznaju <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>napade, koriste jake lozinke i prijave sumnjive aktivnosti koje mogu ukazivati na infekcije zlonamjernim softverom poput <em>ScoringMathTea RAT<\/em>. Na ovaj na\u010din ja\u010da se svijest zaposlenih o prijetnjama i obezbje\u0111uje br\u017ea reakcija u slu\u010daju potencijalnog incidenta.<\/li>\n<li>Osjetljivi podaci treba da se bezbjedno \u010duvaju na \u0161ifrovanim diskovima ili uslugama u oblaku, kako bi bili za\u0161ti\u0107eni od neovla\u0161tenog pristupa. Na ovaj na\u010din smanjuje se rizik da zlonamjerni softver poput <em>ScoringMathTea RAT<\/em> do\u0111e do povjerljivih informacija i ugrozi sistem.<\/li>\n<\/ol>\n<p>Za\u0161tita od naprednog zlonamjernog softvera poput <em>ScoringMathTea RAT<\/em> zahtijeva sveobuhvatan i proaktivan pristup, koji podrazumijeva primjenu robusnih bezbjednosnih mjera u svim aspektima infrastrukture organizacije. Prate\u0107i preporuke, organizacije mogu zna\u010dajno smanjiti izlo\u017eenost riziku od ove prijetnje i zadr\u017eati prednost u odnosu na nove izazove u sajber bezbjednosnom okru\u017eenju.<\/p>","protected":false},"excerpt":{"rendered":"<p>Lazarus APT koristi ScoringMathTea RAT kako bi izbjegao otkrivanje tokom ciljano vo\u0111enih \u0161pijunskih kampanja usmjerenih protiv osjetljivih tehnolo\u0161kih sektora \u0161irom svijeta. Istra\u017eivanja kompanije ESET su nedavno ukazala na njegov modularni dizajn i prikrivene funkcije,&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":8612,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3653,3660,3654,3658,3659,3656,282,54,3420,3476,3655,3657,3349,76],"class_list":["post-8611","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-detekcija-napada","tag-gottafly","tag-jake-lozinke","tag-lazarus-apt","tag-operation-dreamjob","tag-peb-walking","tag-remote-access-trojan","tag-sajber-bezbjednost","tag-sajber-odbrana","tag-sigurnost-mreze","tag-sumnjive-aktivnosti","tag-uav","tag-zastita-podataka","tag-zlonamjerni-softver"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8611","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=8611"}],"version-history":[{"count":5,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8611\/revisions"}],"predecessor-version":[{"id":8617,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8611\/revisions\/8617"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/8612"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=8611"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=8611"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=8611"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}