LodaRAT napada Windows korisnike

Kompanija za sajber bezbjednost Rapid7 je prijavila tekuću kampanju zlonamjernog softvera koja uključuje novu verziju LodaRAT zlonamjernog softvera. Ovaj alat za daljinski pristup (eng. remote access tool – RAT), prvi put primijećen 2016. godine, sada je ažuriran mogućnošću krađe kolačića i lozinki iz internet pregledača Microsoft Edge i Brave.

LodaRAT

LodaRAT napada Windows korisnike; Source: Bing Image Creator

LODARAT

LodaRAT je sofisticirani alat za daljinski pristup (RAT) napisan u AutoIt programskom jeziku. Tokom proteklih osam godina, njegov razvoj se nastavio za Windows operativne sisteme, dok se verzija za Android se distribuira od 2021. godine. Prvobitno dizajniran za prikupljanje podataka, LodaRAT zlonamjerni softver posjeduje širok spektar mogućnosti za prikupljanje i eksfiltraciju podataka o žrtvama, isporuku dodatnog zlonamjernog softvera, snimanje ekrana, kontrolu kamere ili miša, pa čak i širenje u inficiranim okruženjima. U nastavku će biti riječi samo o Windows verziji LodaRAT zlonamjernog softvera.

 

Distribucija

Tekuća kampanja koja uključuje ovu novu verziju LodaRAT zlonamjernog softvera koja cilja na korisnike Windows operativnog sistema širom sveta od svog pojavljivanja 2022. godine. Geografski obim i upornost ovih napada naglašavaju potrebu za oprezom među profesionalcima za sajber bezbjednost i pojedincima.

Metode distribucije LodaRAT zlonamjernog softvera su evoluirale tokom vremena. Starije verzije su distribuirane putem phishing napada i eksploatacije poznatih ranjivosti. Međutim, najnovije verzije šire DonutLoader i CobaltStrike, što ukazuje na promjenu taktike koju koriste njegovi kreatori.

DonutLoader je ubacivač (eng. dropper) zlonamjernog softvera koji instalira drugi zlonamjerni softver na inficirane sisteme, dok je CobaltStrike napredni okvir naprednih trajnih prijetnji (eng. advanced persistent threat – APT) koji koriste zlonamjerni akteri za izviđanje, bočno kretanje (eng. lateral movement) i održavanje pristupa kompromitovanim mrežama. Korištenjem ovih alata, LodaRAT se može efikasnije isporučiti i ostati neotkriven tokom dužih perioda.

Ovo predstavlja značajnu evoluciju u odnosu na prvobitnu svrhu prikupljanja informacija, pošto zlonamjerni softver sada posjeduje širok spektar funkcija za eksfiltraciju podataka. Međutim, bitno je napomenuti da, iako nije bilo značajnih promjena u njegovoj bazi kôda, metode i taktike distribucije LodaRAT zlonamjernog softvera nastavljaju da se razvijaju. Sve ovo ukazuje da kreatori koji stoje iza LodaRAT zlonamjernog softvera prilagođavaju svoje taktike da izbjegnu otkrivanje.

 

Karakteristike

LodaRAT funkcioniše uspostavljanjem postojanosti na inficiranim sistemima kroz različite tehnike kao što je dodavanje unosa u Windows sistemske registre za pokretanje i kreiranje zakazanih zadataka za redovno izvršavanje zlonamjernog softvera. Kada dobije pristup sistemu, može da izvrši nekoliko radnji uključujući krađu kolačića i lozinki iz internet pregledača Microsoft Edge i Brave, prikupljanje informacija o žrtvi, isporuku dodatnog zlonamjernog softvera, snimanje ekrana žrtve, kontrolu kamere ili miša žrtve, pa čak i širenje unutar inficirane sredine.

Jedna od značajnih mogućnosti LodaRAT zlonamjernog softvera je njegova sposobnost preuzimanja i izvršavanja dodatnih korisnih opterećenja (eng. payloads) po prijemu komande od servera za komandu i kontrolu (C2). Radnje zlonamjernog softvera sa određenim stepenom pouzdanosti sugerišu da bi jedan takav alat preuzet sa C2 servera mogao biti pomoćni program za bočno kretanje koji iskorišćava SMB protokol za ubacivanje ili izvršavanje zlonamjerne binarne datoteke na udaljenom hostu. Ova pretpostavka je zasnovana na pokušaju zlonamjernog softvera da se poveže na internu IP adresu na portu 445, nakon čega sledi prijem alata sa C2 servera i korišćenje tog uslužnog programa za pokretanje .bin datoteke na udaljenom hostu.

Još jedan intrigantan aspekt LodaRAT zlonamjernog softvera je njegova upotreba uslužnog programa ngrok reverse proxy kada primi komandu od C2 servera. Ovo ukazuje na sofisticiran nivo funkcionalnosti, što LodaRAT zlonamjerni softver čini ozbiljnim protivnikom u domenu sajber bezbjednosti.

 

ZAKLJUČAK

Nastavak razvoja LodaRAT zlonamjernog softvera je zabrinjavajući zbog njegovog potencijala da nanese značajnu štetu. Njegova sposobnost da krade osjetljive podatke, daljinski kontroliše sisteme i širi se u inficiranim okruženjima čini ga moćnim alatom za zlonamjerne aktere. Kao takvo, razumijevanje mogućnosti i metoda distribucije ovog zlonamjernog softvera je ključno u efikasnoj borbi protiv njegovih prijetnji.

Najnovija verzija LodaRAT zlonamjernog softvera je pokazala poboljšane mogućnosti, posebno u svojoj sposobnosti da izdvoji kolačiće i lozinke iz popularnih internet pregledača kao što su Microsoft Edge i Brave. Ovo predstavlja značajnu evoluciju u odnosu na prvobitnu svrhu prikupljanja informacija, pošto zlonamjerni softver sada posjeduje širok spektar funkcija za eksfiltraciju podataka, dodatnu isporuku zlonamjernog softvera, snimanje ekrana, pa čak i kontrolu nad kamerom i mišem žrtve.

Uticaj LodaRAT zlonamjernog softvera na žrtve može biti ozbiljan. Krađom akreditiva za prijavu i kolačića, zlonamjerni akteri dobijaju neovlašteni pristup osjetljivim informacijama uskladištenim u internet pregledačima ili internet lokacijama za koje je potrebna autentikacija. To može dovesti do krađe identiteta, finansijske prevare i drugih oblika sajber kriminala. Štaviše, mogućnost kontrole kamere žrtve ili miša omogućava špijunske aktivnosti, kao što je praćenje povjerljivih sastanaka ili krađa intelektualne svojine.

Razumijevanje prijetnji kao što je LodaRAT zlonamjerni softver od ključne je važnosti za održavanje snažne sajber bezbjednosti. Kako njegove mogućnosti nastavljaju da se razvijaju, tako moraju i strategije za otkrivanje i ublažavanje. Organizacije treba da daju prioritet implementaciji višeslojnih bezbjednosnih rješenja koja mogu da otkriju i spriječe takve napredne napade. Redovno ažuriranje softvera, edukacija zaposlenih o phishing elektronskoj pošti i praćenje mrežnog saobraćaja su suštinski koraci u zaštiti od LodaRAT zlonamjernog softvera i sličnih prijetnji.

 

ZAŠTITA

Suočeni sa stalno rastućom prijetnjom koju predstavlja LodaRAT zlonamjerni softver, imperativ je i za pojedince i za organizacije da usvoje snažne mjere sajber bezbjednosti kako bi zaštitili svoju digitalnu imovinu. U nastavku će biti navedeno nekoliko preporuka koje mogu pomoći u tome:

  1. Redovno ažurirati sistem, aplikacije i antivirusni softver kako bi se osiguralo da su instalirane najnovije bezbjednosne ispravke i definicije koje mogu pomoći u zaštiti od poznatih ranjivosti koje LodaRAT iskorištava,
  2. Koristiti filtere za neželjenu poštu, alate za zaštitu od krađe identiteta i primjenjivati oprez prilikom otvaranja elektronske pošte od strane nepoznatih pošiljalaca ili klikova na veze unutar njih,
  3. Instalirajte pouzdan antivirusni softver koji može da otkrije i ukloni LodaRAT zlonamjerni softver, kao i druge zlonamjerne prijetnje . Redovno skenirati sistem na viruse, zlonamjerni softver i druge potencijalne prijetnje,
  4. Obučavati zaposlene da prepoznaju phishing pokušaje i naučiti ih da ne otvaraju priloge elektronske pošte ili klikću na veze iz nepoznatih izvora. Podstaknuti kulturu svesti o sajber bezbjednosti u organizaciji,
  5. Redovno praviti rezervne kopije važnih podataka i obezbijediti da se ove rezervne kopije čuvaju bezbjedno i odvojeno od glavnog sistema kako bi se potencijalni gubitak u slučaju infekcije zlonamjernim softverom sveo na minimum,
  6. Nadgledati sisteme za neuobičajenu aktivnost ili pokušaje neovlaštenog pristupa kako bi se otkrilo bilo kakvo sumnjivo ponašanje na mreži, kao što su prekomjerni transferi datoteka, neobični pokušaji prijavljivanja ili promjene kritičnih sistemskih datoteka,
  7. Omogućiti autentifikaciju u više koraka (eng. multi-factor authentication – MFA) gdje god je to moguće, jer autentifikaciju u više koraka dodaje još jedan nivo bezbjednosti zahtjevajući od korisnika da obezbijede dva ili više faktora verifikacije pre pristupanja osjetljivim podacima ili sistemima. Ovo može pomoći u sprečavanju neovlaštenog pristupa čak i ako je lozinka ugrožena,
  8. Ograničiti korisničke privilegije i primijeniti principe najmanje privilegija dajući samo neophodne dozvole potrebne za svakog korisnika kako bi mogao obaviti svoj posao, smanjujući potencijalnu površinu napada u slučaju infekcije. Primjena principa najmanjih privilegija (eng. principle of least privilege – PoLP) pomaže da se smanji šteta uzrokovana zlonamjernim softverom kao što je LodaRAT,
  9. Koristiti zaštitni zid za kontrolu dolaznog i odlaznog mrežnog saobraćaja, podešavajući postavke zaštitnog zida da blokira nepotrebne portove i ograniči pristup osvetljivim resursima, smanjujući potencijalne vektore napada za LodaRAT ili druge zlonamjerne softvere,
  10. Podstaknuti upotrebu složenih, jedinstvenih lozinki za svaki nalog i zahtijevati redovne promjene lozinki. Razmislite o korišćenju alata za upravljanje lozinkama za efikasnije upravljanje i zaštitu lozinki.

Prateći ove preporuke, korisnici i organizacije mogu značajno smanjiti rizik od LodaRAT infekcija i poboljšati ukupnu sajber bezbjednost u odnosu na ovu upornu prijetnju.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.