Lazarus APT koristi ScoringMathTea RAT

AUTOR ·

Lazarus APT koristi ScoringMathTea RAT kako bi izbjegao otkrivanje tokom ciljano vođenih špijunskih kampanja usmjerenih protiv osjetljivih tehnoloških sektora širom svijeta. Istraživanja kompanije ESET su nedavno ukazala na njegov modularni dizajn i prikrivene funkcije, naglašavajući sposobnost ovog zlonamjernog softvera da se prilagodi i iskoristi napredne metode društvenog inženjeringa.

ScoringMathTea RAT

Lazarus APT koristi ScoringMathTea RAT; Source: Bing Image Creator

OPERACIJA GOTTA FLY

Kampanje sajber špijunaže koje sprovode napredne trajne prijetnje (eng. advanced persistent threat – APT) posljednjih godina postale su znatno razvijenije. Među njima se posebno ističe grupa Lazarus APT, povezana sa Sjevernom Korejom, poznata po svojoj aktivnosti i inovativnim taktikama.

U oktobru 2025. sigurnosni istraživači otkrili su novu fazu sajber operacije u okviru kampanje ranije nazvane “Operacija DreamJob”. Ova akcija bila je usmjerena na kompanije koje se bave proizvodnjom bespilotnih letjelica (eng. unmanned aerial vehicles – UAV), a koje snabdijevaju Ukrajinu naprednom tehnologijom. Primarni cilj operacije bio je krađa osjetljivih podataka i intelektualne svojine od organizacija koje se nalaze na meti.

Grupa Lazarus APT tokom godina je povezivana sa brojnim incidentima visokog profila. Njihov način rada obično podrazumijeva upotrebu prilagođenog zlonamjernog softvera osmišljenog da izbjegne otkrivanje alatima zasnovanim na potpisima. Takav pristup im omogućava da duže ostanu neprimijećeni i da prikupe što više informacija.

Naziv nove podkampanje, “Gotta Fly”, dali su istraživači kompanije ESET koji su je otkrili u oktobru 2025. Ova oznaka jasno ukazuje na fokus grupe – ometanje kritične infrastrukture povezane sa proizvodnjom bespilotnih letjelica. Kompanije koje su bile na meti vjerovatno su uključene u snabdijevanje Ukrajine, što ih čini posebno osjetljivim u kontekstu međunarodnih tenzija i učestalih sajber napada.

Glavno oružje korišteno u ovim napadima bio je ScoringMathTea RAT, napredni trojanac za daljinski pristup (eng. remote access trojan – RAT). Ovaj zlonamjerni softver funkcioniše kao modularni DLL i koristi složene tehnike kako bi izbjegao otkrivanje od strane bezbjednosnih alata. Dodatno, upotreba zamršenih nizova znakova za prikrivanje adresa komandovanja i kontrole (C&C) otežava statičku analizu, što sigurnosnim istraživačima predstavlja ozbiljan izazov prilikom pokušaja obrnutog inžinjeringa.

 

ScoringMathTea RAT

ScoringMathTea RAT je napisan u C++ i osmišljen kao modularni DLL, što operaterima omogućava da jednostavno mijenjaju ili dodaju nove funkcionalnosti. Kada se učita u memoriju, ovaj zlonamjerni softver pokreće konfiguracionu strukturu koja sadrži šifrovane adrese servera za komandovanje i kontrolu (C&C), ID kampanje i druge operativne parametre.

Šifrovanje ovih osjetljivih podataka obezbjeđuje da, čak i ako sigurnosni istraživači otkriju softver, neće moći lako da dešifruju C&C adrese niti da sagledaju puni obim operacije. Ovakav nivo prikrivanja karakterističan je za napredne APT grupe poput Lazarus.

Jedna od ključnih osobina zlonamjernog softvera ScoringMathTea RAT jeste sposobnost dinamičkog rješavanja API poziva pomoću prilagođenog algoritma za sažetak podataka (eng. hash). Softver analizira DLL izvoze, pravi sažetak imena API funkcija i rješava ih tokom izvršavanja, čime izbjegava otkrivanje alatima zasnovanim na potpisima. Na taj način trojanac za daljinski pristup (RAT) održava čistu API tabelu, a ipak nastavlja da izvršava zlonamjerni kôd.

Pored toga, trojanac ScoringMathTea RAT koristi tehniku PEB walking kako bi locirao kernel32.dll i ručno dobio API pokazivače. Ovaj pristup mu omogućava da zaobiđe mehanizme API poziva koje koriste pojedini bezbjednosni softveri. Kombinacija navedenih metoda čini detekciju tradicionalnim alatima zasnovanim na potpisima izuzetno zahtjevnom.

 

Komandovanje i kontrola

Komunikacija između inficiranog sistema i servera za komandovanje i kontrolu (C&C) zlonamjernog softvera ScoringMathTea RAT odvija se preko HTTP/HTTPS protokola, čime se obezbjeđuje da prenos podataka ostane šifrovan tokom cijelog procesa. Korisni teret se dodatno prikriva kroz kombinaciju TEA/XTEA algoritama u CBC režimu, Base64 kôdiranja i opcionalne kompresije.

Da bi se uklopio u regularni mrežni saobraćaj, softver falsifikuje legitiman niz korisničkog agenta Microsoft Edge, što bezbjednosnim analitičarima otežava razlikovanje uobičajene od zlonamjerne aktivnosti. Uz to, ScoringMathTea RAT uklanja HTML zaglavlja iz C&C odgovora, vjerovatno kao pokušaj da izbjegne analizu u izolovanom okruženju (eng. sandbox) ili zatvorenim portalima koje istraživači koriste.

Agent održava periodični signal svakih 60 sekundi, šaljući prividno nasumične pakete podataka kako bi prikrio svoju prisutnost. Ovakav način rada obezbjeđuje da, čak i kada se softver otkrije, ne pruža odmah jasne dokaze o zlonamjernom ponašanju, već se stvarni obim aktivnosti otkriva tek kasnije u lancu infekcije.

 

Učitavanje i izvršavanje dodataka

Jedna od ključnih osobina zlonamjernog softvera ScoringMathTea RAT jeste sposobnost da učitava i izvršava dodatke direktno u memoriji koristeći reflektivnu DLL injekciju. Softver ručno mapira PE datoteku dodatka, izračunava CRC32 kontrolnu sumu radi provjere integriteta i primjenjuje odgovarajuće zaštite memorije prije nego što pokrene izvezenu funkciju.

Ova tehnika omogućava zlonamjernim akterima da rasporede dodatne module bez upisivanja na disk, što značajno otežava otkrivanje i analizu. Dinamičkim učitavanjem dodataka u memoriju, ScoringMathTea RAT može da prilagođava svoje ponašanje u stvarnom vremenu, u skladu sa operativnim zahtjevima ili iskorištavanjem novootkrivenih ranjivosti.

Korištenje reflektivne DLL injekcije dodatno omogućava softveru da zaobiđe tradicionalne bezbjednosne mjere koje se oslanjaju na potpise zasnovane na datotekama ili provjere sažetaka podataka. Na ovaj način, čak i ako se otkrije potpis za jednu verziju dodatka, naknadna ažuriranja ostaju neuhvaćena ovim mehanizmima.

 

Mehanizmi izbjegavanja i izazovi otkrivanja

ScoringMathTea RAT primjenjuje niz mehanizama izbjegavanja osmišljenih da otežaju otkrivanje i analizu od strane branilaca. Jedan od njih podrazumijeva sakrivanje tragova koje softver ostavlja tokom izvršavanja, što može obuhvatiti privremene datoteke, unose u registar ili druge oblike dokaza koji bi mogli ukazivati na njegovo prisustvo.

Poseban dio ovih tehnika jeste suzbijanje dijaloga o sistemskim greškama, koji se inače pojavljuju kada program naiđe na neočekivano stanje ili izuzetak. Sakrivanjem takvih poruka, zlonamjerni softver otežava braniocima da prepoznaju nepravilnosti u njegovom ponašanju ili konfiguraciji.

Još jedan mehanizam izbjegavanja zasniva se na izračunavanju CRC32 kontrolnih suma radi provjere integriteta i otkrivanja pokušaja neovlaštenog mijenjanja. Na taj način se osigurava da se izvršava isključivo predviđeni zlonamjerni kôd, uz dodatni sloj zaštite od potencijalnog otkrivanja.

Kombinacija ovih mjera čini identifikaciju i ublažavanje prisustva zlonamjernog softvera ScoringMathTea RAT u mrežama izuzetno zahtjevnim. Prilagođavanjem ponašanja, sakrivanjem tragova, suzbijanjem sistemskih poruka i provjerom integriteta, ovaj softver uspijeva da održi nizak profil dok nastavlja sa izvršavanjem svojih funkcija.

Osim toga, ovakve tehnike omogućavaju da ScoringMathTea RAT efikasno reaguje na promjenljiva okruženja i bezbjednosne mjere, prilagođavajući se potrebama u realnom vremenu. Upravo ta prilagodljivost otežava braniocima razvoj trajno efikasnih kontramjera, jer moraju neprekidno da ažuriraju strategije otkrivanja i zaštite u skladu sa evolucijom taktika zlonamjernog softvera.

 

UTICAJ

Pojava zlonamjernog softvera ScoringMathTea RAT ima ozbiljan uticaj na pojedince i organizacije. Ovaj modularni trojanac za udaljeni pristup (RAT) osmišljen je da izbjegne otkrivanje kako na mrežnom nivou, tako i na krajnjim tačkama, čime tradicionalne bezbjednosne mjere postaju nedovoljno efikasne protiv njegove arhitekture. Zbog toga korisnici ostaju ranjivi na napade aktera koji ovu ranjivost mogu iskoristiti sa relativnom lakoćom.

Posljedice njegovog prisustva u ekosistemu organizacije teško je precijeniti. Zahvaljujući mogućnosti da učitava dodatke direktno u memoriju, zlonamjerni akteri mogu izvršavati proizvoljan kôd bez ostavljanja vidljivih digitalnih tragova. To bezbjednosnim timovima otežava pravovremeno otkrivanje i obuzdavanje prijetnje, pa šteta često nastaje prije nego što se reaguje. Dodatno, višeslojni komunikacioni kanal koji koristi ScoringMathTea RAT štiti servere za komandovanje i kontrolu od analize i znatiželjnih pogleda.

Uticaj na krajnje korisnike takođe je značajan. Kao modularni trojanac za udaljeni pristup (RAT), ovaj softver se lako prilagođava promjenljivim okolnostima, što ga čini pogodnim za ciljane napade. To znači da pojedinci i organizacije moraju biti stalno oprezni kako ne bi postali žrtve aktera koji su usavršili ovu vrstu sajber napada.

Najkritičniji aspekt njegove prijetnje leži u sposobnosti da zaobiđe tradicionalne bezbjednosne mjere. Ručno mapiranje dodataka predstavlja naročito podmuklu taktiku, jer omogućava zlonamjernim akterima da ostanu skriveni i dok nanose štetu sistemima i podacima organizacije.

U svjetlu ovih činjenica jasno je da ScoringMathTea RAT predstavlja ozbiljnu prijetnju sajber bezbjednosti. Njegova arhitektura i sposobnost prikrivanja čine ga moćnim alatom u rukama zlonamjernih aktera, spremnih da iskoriste ranjivosti sa velikom efikasnošću.

 

ZAKLJUČAK

Analiza zlonamjernog softvera ScoringMathTea RAT otkriva njegovu primarnu funkciju kao trojanca za udaljeni pristup (RAT), osmišljenog da zlonamjernim akterima pruži širok spektar mogućnosti. To obuhvata daljinsko izvršavanje komandi, učitavanje i pokretanje dodataka direktno u memoriji i druge napredne funkcije. Sposobnost da se prilagođava i evoluira čini ga posebno teškim za otkrivanje i analizu.

Dizajn ovog softvera omogućava operaterima da na daljinu izvršavaju različite komande, što ga čini efikasnim alatom za zlonamjerne aktivnosti. Njegova funkcija učitavanja dodataka u memoriju proširuje mogućnosti i daje mu fleksibilnost da se prilagodi specifičnim operativnim potrebama. Ovaj modularni pristup olakšava promjene i prilagođavanje u skladu sa zahtjevima napada.

Važno je naglasiti da trojanac koristi API sažetak podataka kao tehniku za identifikaciju API okruženja. Na taj način ScoringMathTea RAT dinamički rješava API pozive tokom izvršavanja, bez oslanjanja na eksplicitne uvoze ili izvoze, što dodatno otežava njegovo otkrivanje.

Mogućnosti softvera osmišljene su sa naglaskom na fleksibilnost. Kombinacija daljinskog izvršavanja komandi, dinamičkog učitavanja dodataka i prilagođavanja putem API sažetka podataka čini ga moćnim alatom u rukama zlonamjernih aktera. Razumijevanje ovih karakteristika ključno je za razvoj efikasnih odbrambenih mjera protiv ovakvih prijetnji.

Analiza naglašava potrebu da se razmotre svi aspekti dizajna zlonamjernog softvera ScoringMathTea RAT prilikom procjene njegovih mogućnosti. Detaljnim ispitivanjem svake komponente istraživači mogu steći dragocjene uvide u načine kako ublažiti rizike povezane sa trojancima za udaljeni pristup poput ovog.

 

PREPORUKE

S obzirom na pojavu novih prijetnji, među kojima se posebno ističe zlonamjerni softver ScoringMathTea RAT, organizacije i pojedinci moraju preduzeti proaktivne mjere radi zaštite svojih sistema. Ovaj trojanac za udaljeni pristup (RAT) pokazuje sposobnost da zaobiđe tradicionalne bezbjednosne mehanizme, pa se odbrana mora zasnivati na stalnom prilagođavanju i unapređivanju strategija. Sljedeće preporuke pružaju sveobuhvatan vodič o tome kako se zaštititi od ove prijetnje:

  1. Osigurati da su sve krajnje tačke (računari, laptopovi, mobilni uređaji) opremljene ažuriranim antivirusnim softverom i renomiranim bezbjednosnim paketom koji uključuje funkcije poput analize u izolovanom okruženju i skeniranja memorije. Redovno ažurirajte ove alate kako biste bili ispred novih prijetnji.
  2. Sprovoditi temeljne procjene rizika infrastrukture organizacije, identifikujući potencijalne ranjivosti u sistemima, mrežama i aplikacijama. Ovo će pomoći u određivanju oblasti gdje ScoringMathTea RAT ili sličan zlonamjerni softver mogu iskoristiti ranjivosti.
  3. Potrebno je uvesti kontrolu pristupa zasnovanu na ulogama (eng. role-based access control – RBAC) kako bi se korisničke privilegije ograničile i spriječio neovlašteni pristup osjetljivim podacima. Takođe, važno je obezbijediti da svi korisnici budu autentifikovani pomoću jakih lozinki, autentifikacije u više koraka (eng. multi-factor authentication – MFA) ili biometrijskih metoda provjere.
  4. Potrebno je podesiti sisteme za detekciju upada i sisteme za sprječavanje upada kako bi se pratila mrežna aktivnost i otkrili sumnjivi obrasci koji mogu ukazivati na infekcije zlonamjernim softverom. Jednako je važno redovno pregledati sistemske zapise ovih sistema, jer se na taj način mogu identifikovati potencijalni bezbjednosni incidenti i pravovremeno reagovati.
  5. Potrebno je razviti plan odgovora na sajber prijetnje koji opisuje procedure za otkrivanje, obuzdavanje, iskorjenjivanje i oporavak od zlonamjernog softvera ScoringMathTea RAT ili sličnih napada. Važno je da cijelo osoblje bude obučeno za primjenu ovog plana i da razumije svoje uloge u reagovanju na takve događaje.
  6. Redovno ažurirati operativne sisteme, aplikacije i dodatke najnovijim bezbjednosnim ispravkama. Ovo će pomoći u sprječavanju iskorištavanja poznatih ranjivosti od strane zlonamjernog softvera poput ScoringMathTea RAT.
  7. Osjetljivi podaci treba da se prenose isključivo korištenjem šifrovanih kanala (npr. HTTPS), kako bi bili zaštićeni od napada prisluškivanja ili presretanja. Ovakav način prenosa obezbjeđuje da povjerljive informacije ostanu nedostupne neovlaštenim licima i da se očuva bezbjednost komunikacije.
  8. Privilegije i prava pristupa korisnika, aplikacija i usluga treba ograničiti isključivo na ono što je neophodno za obavljanje njihovih funkcija. Na taj način se smanjuje površina za napad i otežava djelovanje zlonamjernog softvera poput ScoringMathTea RAT.
  9. Rezervne kopije kritičnih sistema i podataka treba redovno praviti korištenjem bezbjednih metoda (npr. šifrovanje), kako bi se obezbijedio kontinuitet poslovanja u slučaju bezbjednosnog incidenta ili kvara sistema. Ovakva praksa omogućava da se povratak u radno stanje izvrši brzo i pouzdano, uz očuvanje integriteta i dostupnosti podataka.
  10. Potrebno je implementirati robustan mehanizam evidentiranja kroz postavljanje centralizovanih rješenja za upravljanje zapisima, koja prikupljaju, čuvaju i analiziraju podatke iz različitih izvora u infrastrukturi organizacije. Na ovaj način olakšava se identifikacija potencijalnih bezbjednosnih incidenata, uključujući one povezane sa zlonamjernim softverom ScoringMathTea RAT.
  11. Periodične testove penetracije treba sprovoditi na sistemima i mrežama kako bi se simulirali napadi iz stvarnog svijeta od strane vještih protivnika, uključujući one koji stoje iza zlonamjernog softvera ScoringMathTea RAT. Ovakvi testovi omogućavaju da se na vrijeme otkriju ranjivosti i preduzmu mjere zaštite prije nego što ih iskoriste zlonamjerni akteri.
  12. Svi mrežni uređaji, kao što su ruteri, svičevi i zaštitni zidovi, treba da budu bezbjedno konfigurisani sa jakim lozinkama, odgovarajućim kontrolama pristupa i ažuriranim upravljačkim softverom ili softverskim ispravkama. Na ovaj način obezbjeđuje se stabilnost infrastrukture i smanjuje rizik od zloupotrebe ranjivosti koje zlonamjerni akteri mogu iskoristiti.
  13. Potrebno je implementirati rješenja za praćenje zasnovana na ponašanju, kako bi se otkrile anomalije u aktivnosti sistema koje mogu ukazivati na infekcije zlonamjernim softverom poput ScoringMathTea RAT. Ovakav pristup omogućava pravovremeno prepoznavanje neuobičajenih obrazaca i smanjuje rizik od širenja napada kroz infrastrukturu.
  14. Redovna obuka o sajber bezbjednosti treba da bude obezbijeđena za sve zaposlene, kako bi naučili da prepoznaju phishing napade, koriste jake lozinke i prijave sumnjive aktivnosti koje mogu ukazivati na infekcije zlonamjernim softverom poput ScoringMathTea RAT. Na ovaj način jača se svijest zaposlenih o prijetnjama i obezbjeđuje brža reakcija u slučaju potencijalnog incidenta.
  15. Osjetljivi podaci treba da se bezbjedno čuvaju na šifrovanim diskovima ili uslugama u oblaku, kako bi bili zaštićeni od neovlaštenog pristupa. Na ovaj način smanjuje se rizik da zlonamjerni softver poput ScoringMathTea RAT dođe do povjerljivih informacija i ugrozi sistem.

Zaštita od naprednog zlonamjernog softvera poput ScoringMathTea RAT zahtijeva sveobuhvatan i proaktivan pristup, koji podrazumijeva primjenu robusnih bezbjednosnih mjera u svim aspektima infrastrukture organizacije. Prateći preporuke, organizacije mogu značajno smanjiti izloženost riziku od ove prijetnje i zadržati prednost u odnosu na nove izazove u sajber bezbjednosnom okruženju.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.