{"id":6535,"date":"2024-05-02T22:05:59","date_gmt":"2024-05-02T20:05:59","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6535"},"modified":"2024-05-02T22:05:59","modified_gmt":"2024-05-02T20:05:59","slug":"venomrat-phishing-kampanja","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/05\/02\/venomrat-phishing-kampanja\/","title":{"rendered":"VenomRAT phishing kampanja"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Masovna <a href=\"https:\/\/sajberinfo.com\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>kampanja \u010diji je cilj isporuka <em>VenomRAT<\/em> <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> cilja razli\u010dite sektore u Latinskoj Americi, prvenstveno Meksiko, Kolumbiju, Portugal, Brazil, Dominikansku Republiku i Argentinu, ali i\u00a0 \u0160paniju i Sjedinjene Ameri\u010dke Dr\u017eave. Cilj ove kampanje je sakupiti osjetljive podatke i daljinski upravljati sistemima.<\/span><\/p>\n<div id=\"attachment_6537\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6537\" class=\"size-full wp-image-6537\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/VenomRAT-phishing.jpg\" alt=\"VenomRAT\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/VenomRAT-phishing.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/VenomRAT-phishing-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/VenomRAT-phishing-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/VenomRAT-phishing-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/VenomRAT-phishing-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/VenomRAT-phishing-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/VenomRAT-phishing-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6537\" class=\"wp-caption-text\"><em>VenomRAT phishing kampanja; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/02\/venomrat-phishing-kampanja\/#DISTRIBUCIJA\" >DISTRIBUCIJA<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/02\/venomrat-phishing-kampanja\/#BatCloak\" >BatCloak<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/02\/venomrat-phishing-kampanja\/#ScrubCrypt\" >ScrubCrypt<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/02\/venomrat-phishing-kampanja\/#VENOMRAT\" >VENOMRAT<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/02\/venomrat-phishing-kampanja\/#Izbjegavanje_detekcije\" >Izbjegavanje detekcije<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/02\/venomrat-phishing-kampanja\/#Funkcionalnosti\" >Funkcionalnosti<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/02\/venomrat-phishing-kampanja\/#Zlonamjerni_dodaci\" >Zlonamjerni dodaci<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/02\/venomrat-phishing-kampanja\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-9\" href=\"https:\/\/sajberinfo.com\/en\/2024\/05\/02\/venomrat-phishing-kampanja\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"DISTRIBUCIJA\"><\/span><strong><span style=\"font-size: 14pt;\">DISTRIBUCIJA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">U ovoj kampanji, prema informacijama sigurnosnih istra\u017eiva\u010da kompanije <a href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/scrubcrypt-deploys-venomrat-with-arsenal-of-plugins\" target=\"_blank\" rel=\"noopener\"><em>Fortinet<\/em><\/a>, lanac infekcije po\u010dinje sa <a href=\"https:\/\/sajberinfo.com\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>porukama elektronske po\u0161te koje sadr\u017ee zlonamjerne <em>SVG<\/em> datoteke preko kojih se zapo\u010dinje proces u vi\u0161e faza koji uklju\u010duje nekoliko alata i koraka.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">Zlonamjerni akteri<\/a> \u0161alju <em>phishing<\/em> elektronske poruke koje se odnose na obavje\u0161tenja o isporuci ili fakturama, koji sadr\u017ee prilog u obliku <em>Scalable<\/em> <em>Vector<\/em> <em>Graphics<\/em> \u2013 <em>SVG<\/em> datoteke. Zlonamjerne <em>SVG<\/em> datoteke su dizajnirane da ispuste <em>ZIP<\/em> arhivu, kada se otvore, pomo\u0107u odre\u0111ene alatke kao \u0161to je <em>BatCloak<\/em>. Ovaj alat poma\u017ee da se zaobi\u0111u antivirusne za\u0161tite i osigurava da <a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisni teret<\/a> ostane neotkriven. Kada se <em>ZIP<\/em> arhiva raspakuje, ona sadr\u017ei <em>Batch<\/em> datoteku sakrivenu pomo\u0107u <em>ScrubCrypt<\/em> zlonamjernog okvira. Upotreba ovog alata ote\u017eava <a href=\"https:\/\/sajberinfo.com\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusnim proizvodima<\/a> da otkriju zlonamjerni k\u00f4d.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kada se <em>Batch<\/em> fajl izvr\u0161i, <em>VenomRAT<\/em> zlonamjerni softver se u\u010ditava u memoriju dok odr\u017eava vezu sa svojim serverom za komandu i kontrolu (<em>C2<\/em>). Nakon uspje\u0161ne infekcije, dodaci kao \u0161to su <em>VenomRAT<\/em> verzija 6, <a href=\"https:\/\/sajberinfo.com\/2024\/03\/24\/remcos-rat-svuda\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>Remcos<\/em><\/a>, <a href=\"https:\/\/sajberinfo.com\/2023\/05\/02\/xworm-rat-se-siri-preko-elektronske-poste\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>XWorm<\/em><\/a>, <em>NanoCore<\/em> i kradljivci kripto nov\u010danika se preuzimaju sa <em>C2<\/em> servera da bi se pro\u0161irio pristup i mogu\u0107nosti napada\u010da u okru\u017eenju \u017ertava. Ova vi\u0161estepena tehnika distribucije je dizajnirana da zaobi\u0111e mehanizme otkrivanja i osigura \u0161iroku infiltraciju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cDok primarni program VenomRAT mo\u017ee izgledati jednostavno, on odr\u017eava komunikacione kanale sa C2 serverom kako bi nabavio dodatne dodatke za razli\u010dite aktivnosti. Ovo uklju\u010duje VenomRAT v6.0.3 sa mogu\u0107nostima pra\u0107enja korisni\u010dkog unosa, NanoCore RAT, Xworm i Remcos RAT. Ovaj [Remcos RAT] dodatak je distribuiran sa VenomRAT C2 koriste\u0107i tri metode: zamagljenu VBS skriptu pod nazivom remcos.vbs, ScrubCrypt i Guloader PowerShell\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; Cara Lin, Fortinet &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"BatCloak\"><\/span><strong><span style=\"font-size: 14pt;\">BatCloak<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>BatCloak<\/em> je alatka za prikrivanje zlonamjernog softvera koja je dostupna na mra\u010dnim internet forumima od kraja 2022. godine Zasnovana je na alatu <em>Jlaive<\/em> i prvenstveno se koristi za preuzimanje sljede\u0107e faze korisnog tereta na na\u010din dizajniran da zaobi\u0111e tradicionalne mehanizme detekcije. <em>BatCloak<\/em> je poznat po svojoj sposobnosti da preuzme i izvr\u0161i sljede\u0107u fazu korisnog optere\u0107enja koriste\u0107i razli\u010dite tehnike dizajnirane da izbjegnu otkrivanje. To posti\u017ee kori\u0161\u0107enjem vi\u0161e slojeva <a href=\"https:\/\/sajberinfo.com\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanja<\/a> i zamagljivanja, \u0161to ote\u017eava bezbjednosnim rje\u0161enjima da identifikuju i blokiraju zlonamjerni k\u00f4d. Alat tako\u0111e uklju\u010duje funkcije koje mu poma\u017eu da izbjegne analizu od strane automatizovanih sistema, kao \u0161to su izolovana okru\u017eenja (eng. <em>sandboxes<\/em>) ili virtualna okru\u017eenja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedna zna\u010dajna karakteristika <em>BatCloak<\/em> alata je njegova sposobnost preuzimanja i izvr\u0161avanja korisnih tovara sa udaljenih servera koriste\u0107i <em>HTTP<\/em>(<em>S<\/em>) zahteve. Ovo omogu\u0107ava napada\u010dima da isporu\u010de svoj zlonamjerni softver na fleksibilniji i dinami\u010dniji na\u010din, \u0161to ote\u017eava bezbjednosnim rje\u0161enjima da otkriju i blokiraju napade. Pored toga, <em>BatCloak<\/em> mo\u017ee da koristi razli\u010dite tehnike da izbjegne antivirusni softver, kao \u0161to su polimorfizam ili pakovanje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jo\u0161 jedan alat koji je povezan sa <em>BatCloak<\/em> alatom je <em>ScrubCrypt<\/em>, koji su istra\u017eiva\u010di prvi put dokumentovali u martu 2023. godine i smatra varijantom <em>BatCloak<\/em> alata.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"ScrubCrypt\"><\/span><strong><span style=\"font-size: 14pt;\">ScrubCrypt<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>ScrubCrypt<\/em> je zlonamjerni okvir koji zlonamjerni akteri koriste za distribuciju razli\u010ditih korisnih tovara (eng. <em>payloads<\/em>) na kompromitovanim sistemima. Primarni cilj <em>ScrubCrypt <\/em>kori\u0161\u0107enja je da se obezbijedi postojanost i prikrivenost napada, po\u0161to predstavlja izazov za bezbjednosna rje\u0161enja da otkriju i zaustave prijetnju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>ScrubCrypt<\/em> ima dva glavna cilja: uspostavljanje postojanosti i u\u010ditavanje ciljanog zlonamjernog softvera. To posti\u017ee stvaranjem stalnog prisustva na zara\u017eenom sistemu, osiguravaju\u0107i da \u010dak i ako korisnik ponovo pokrene svoj ure\u0111aj ili antivirusni softver ukloni po\u010detnu infekciju, <em>ScrubCrypt<\/em> \u0107e nastaviti da radi u pozadini. Ovaj zlonamjerni okvir pored toga \u0161to u\u010ditava korisni teret <em>VenomRAT, <\/em>\u00a0on u\u010ditava i druge zlonamjerne dodatke na kompromitovane sisteme. Kada se u\u010ditaju, ovi dodaci omogu\u0107avaju napada\u010dima da dobiju neovla\u0161teni pristup i kontrolu nad pogo\u0111enim ure\u0111ajima na daljinu. Oni mogu da obavljaju razne zlonamjerne aktivnosti bez znanja ili dozvole \u017ertve, kao \u0161to su kra\u0111a osjetljivih podataka, instaliranje dodatnog zlonamjernog softvera ili \u010dak pokretanje daljih napada na druge mre\u017ee.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"VENOMRAT\"><\/span><strong><span style=\"font-size: 14pt;\">VENOMRAT<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>VenomRAT<\/em> je trojanac za daljinski pristup (eng. <em>Remote Access Trojan \u2013 RAT<\/em>) koji je prvi put identifikovan 2020. godine. To je modifikovana verzija dobro poznatog <em>Quasar RAT<\/em> zlonamjernog softvera i distribuira se preko zlonamjernih priloga u porukama ne\u017eeljene elektronske po\u0161te. Zlonamjerni akteri koriste <em>VenomRAT<\/em> da bi dobili neovla\u0161teni pristup i kontrolu nad ciljanim sistemima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jednom instaliran na sistem, napada\u010d mo\u017ee daljinski da manipuli\u0161e ure\u0111ajem, omogu\u0107avaju\u0107i mu da izvr\u0161i razne zlonamjerne aktivnosti bez znanja ili pristanka korisnika ure\u0111aja. To mo\u017ee uklju\u010divati kra\u0111u osjetljivih podataka, instaliranje dodatnog zlonamjernog softvera ili \u010dak preuzimanje potpune kontrole nad ure\u0111ajem. Osnovne konfiguracije <em>VenomRAT<\/em> zlonamjernog softvera su <em>Base64<\/em> k\u00f4dirane i <em>AES-CBC<\/em> \u0161ifrovane. Ovo \u0161ifrovanje osigurava da su konfiguracijski podaci za\u0161ti\u0107eni za \u010ditanja od strane neovla\u0161tenih korisnika, dodaju\u0107i dodatni nivo bezbjednosti funkcionalnosti zlonamjernog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Nakon zavr\u0161etka provjere sistemskog okru\u017eenja, <em>VenomRAT<\/em> pokre\u0107e komunikaciju sa svojim serverom za komandu i kontrolu (<em>C2<\/em>). Po\u010detni paket sadr\u017ei osnovne informacije o \u017ertvi, kao \u0161to su specifikacije hardvera, korisni\u010dko ime, detalji operativnog sistema, dostupnost kamere, putanja izvr\u0161enja, ime prozora u prvom planu i naziv antivirusnog proizvoda instaliranog na ure\u0111aju. Ove podatke napada\u010d koristi da prilagodi svoje napade specifi\u010dnim ranjivostima ciljanog sistema, pove\u0107avaju\u0107i vjerovatno\u0107u uspje\u0161nog kompromisa.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Izbjegavanje_detekcije\"><\/span><strong><span style=\"font-size: 14pt;\">Izbjegavanje detekcije<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>VenomRAT<\/em> zlonamjerni softver koristi razli\u010dite napredne tehnike izbjegavanja da zaobi\u0111e bezbjednosne mjere i prikriveno djeluje u okru\u017eenju \u017ertve. Primarni na\u010dini izbjegavanja otkrivanja zlonamjernog softvera uklju\u010duju upotrebu zamagljivanja, izvr\u0161avanje bez datoteka i razne trikove za izbjegavanje analize.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedan od na\u010dina izbjegavanja koji koristi <em>VenomRAT<\/em> zlonamjerni softver je opse\u017ena upotreba metode zamagljivanja da bi sakrio svoj teret od bezbjednosnih sistema. <em>ScrubCrypt<\/em>, <em>Batch<\/em> datoteka koja se koristi u napadu, koristi <em>Advanced Encryption Standard \u2013 AES<\/em> sa re\u017eimom <em>Cipher Block Chaining<\/em> \u2013 <em>CBC<\/em> i <em>GZIP<\/em> kompresijom za k\u00f4diranje i kompresiju svog zlonamjernog sadr\u017eaja. Ovaj nivo zamagljenosti ote\u017eava bezbjednosnim rje\u0161enjima da identifikuju i analiziraju korisni teret.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Tu je i tehnika izvr\u0161avanja bez datoteka kako bi se izbjeglo ostavljanje tragova na zara\u017eenim sistemima. Zlonamjerni softver <em>VenomRAT <\/em>ne stvara nikakve izvr\u0161ne datoteke tokom procesa infekcije. Umjesto toga, on se ubacuje u postoje\u0107e procese ili koristi <em>PowerShell<\/em> skripte za izvr\u0161avanje svog k\u00f4da. Ovaj metod predstavlja izazov za bezbjednosna rje\u0161enja da otkriju prisustvo ovog zlonamjernog softvera u sistemu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>VenomRAT<\/em> zlonamjerni softver koristi i trikove protiv analize da bi izbjegao otkrivanje tokom obrnutog in\u017eenjeringa i analize. Na primjer, kada se analizira, zlonamjerni softver mo\u017ee da se pauzira ili da prekine svoj rad ako su ispunjeni specifi\u010dni uslovi, kao \u0161to je prisustvo programa za otklanjanje gre\u0161aka ili izolovanog okru\u017eenja. Pored toga, mo\u017ee koristiti tehnike zamagljivanja k\u00f4da kao \u0161to su polimorfizam, \u0161ifrovanje ili k\u00f4diranje nizova kako bi njegov k\u00f4d bio te\u017eak za razumijevanje i analizu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Za odr\u017eavanje upori\u0161ta na kompromitovanim sistemima <em>VenomRAT<\/em> zlonamjerni softver koristi napredne mehanizme postojanosti. Ovaj zlonamjerni softver kreira klju\u010deve u registrima sistema koji mu omogu\u0107avaju da se automatski pokrene nakon pokretanja sistema, osiguravaju\u0107i njegovo kontinuirano prisustvo \u010dak i ako se korisnik odjavi ili isklju\u010di svoj ure\u0111aj. Pored toga, mo\u017ee da koristi tehnike kao \u0161to su <em>DLL<\/em> injekcija i ubacivanje zlonamjernog k\u00f4da u legitimne procese (eng. <em>process<\/em> <em>hollowing<\/em>) da bi se u\u010ditao u memoriju bez ostavljanja tragova datoteka na disku.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>VenomRAT<\/em> zlonamjerni softver koristi i sofisticirane tehnike izbjegavanja za zaobila\u017eenje bezbjednosnih mjera kao \u0161to su <em>AMSI<\/em> (<em>Antimalware Scan Interface<\/em>) i <em>ETW<\/em> (<em>Event<\/em> <em>Tracing<\/em> <em>for<\/em> <em>Windows<\/em>). Na primjer, on mo\u017ee da koristi ubrizgavanje k\u00f4da ili trikove za <em>DLL <\/em>u\u010ditavanje da ubaci zlonamjerne skripte u legitimne procese koje antivirusni softver ne skenira. Pored toga, mo\u017ee da manipuli\u0161e evidencijama doga\u0111aja da bi izbjegao detekciju od strane bezbjednosnih rije\u0161enja koja nadgledaju ove evidencije u potrazi za sumnjivim aktivnostima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Na kraju, mogu\u0107nosti <em>VenomRAT<\/em> zlonamjernog softvera su pro\u0161irene kroz dodatke kao \u0161to su <em>NanoCore<\/em>, <em>Remcos<\/em>, <em>XWorm<\/em> i specijalizovane kradljivce kripto nov\u010danika. Ovi dodaci omogu\u0107avaju napada\u010dima da obavljaju razne zlonamjerne aktivnosti na daljinu, kao \u0161to su <a href=\"https:\/\/sajberinfo.com\/2021\/10\/01\/keyloggers\/\" target=\"_blank\" rel=\"nofollow noopener\">pra\u0107enje korisni\u010dkog unosa<\/a> (eng. <em>keylogging<\/em>), kra\u0111a podataka, neovla\u0161teni pristup sistemu i jo\u0161 mnogo toga. Upotreba ovih dodataka dodatno pove\u0107ava sofisticiranost i doseg <em>VenomRAT<\/em> napada.<\/span><\/p>\n<p>&nbsp;<\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201cOsnovni program VenomRAT mo\u017ee izgledati pojednostavljeno, ali podr\u017eava komunikacione kanale sa C2 serverom za primanje dodatnih dodataka, pro\u0161iruju\u0107i potencijalni opseg zlonamjernih aktivnosti. Na\u0161a analiza otkriva slo\u017een napad koji koristi vi\u0161eslojne metode zamagljivanja i izbjegavanja za distribuciju i izvr\u0161avanje VenomRAT preko ScrubCrypt-a.\u201d<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><span style=\"font-size: 14pt;\"><em>&#8211; Cara Lin, Fortinet &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionalnosti\"><\/span><strong><span style=\"font-size: 14pt;\">Funkcionalnosti<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>VenomRAT<\/em> trojanac za daljinski pristup koji je pomenut u istra\u017eivanju je u verziji <em>6.0.3<\/em>. Jedna od njegovih naprednih funkcionalnosti uklju\u010duje mogu\u0107nosti daljinskog upravljanja, koje omogu\u0107avaju napada\u010du da preuzme potpunu kontrolu nad zara\u017eenim sistemom. Ovo mo\u017ee uklju\u010divati razli\u010dite radnje kao \u0161to su:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Pra\u0107enje korisni\u010dkog unosa koji <em>VenomRAT<\/em> zlonamjerni softver prikuplja i \u0161alje ukradene podatke iz aktivnosti tastature \u017ertve na svoj komandni i kontrolni (<em>C2<\/em>) server,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Napada\u010d mo\u017ee da manipuli\u0161e datotekama na zara\u017eenom sistemu, uklju\u010duju\u0107i njihovo kreiranje, brisanje, preimenovanje ili modifikovanje. Ova funkcionalnost je korisna za kra\u0111u osjetljivih informacija ili dalje \u0161irenje zlonamjernog softvera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>VenomRAT<\/em> zlonamjerni softver omogu\u0107ava napada\u010du da upravlja procesima koji se pokre\u0107u na zara\u017eenom sistemu. Oni imaju mogu\u0107nost prekinuti, kreirati nove ili modifikovati postoje\u0107e procese,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Mogu\u0107nosti umre\u017eavanja koje omogu\u0107avaju napada\u010du da izvr\u0161i razli\u010dite radnje kao \u0161to su kreiranje i brisanje mre\u017enih veza, slanje elektronske po\u0161te sa zlonamjernim prilozima i skeniranje mre\u017ea u potrazi za ranjivim sistemima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>VenomRAT<\/em> zlonamjerni softver mo\u017ee posti\u0107i postojanost na zara\u017eenom sistemu ubrizgavanjem u legitimne procese ili modifikacijom datoteka za pokretanje sistema. Ovo osigurava da nastavi da funkcioni\u0161e \u010dak i nakon ponovnog pokretanja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Jedna od naprednih funkcionalnosti <em>VenomRAT<\/em> zlonamjernog softvera je njegova sposobnost da preuzme i izvr\u0161i dodatne dodatke sa svog <em>C2<\/em> servera za razli\u010dite aktivnosti. Ovi dodaci mogu uklju\u010divati alate za pra\u0107enje korisni\u010dkog unosa, <a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoors<\/em><\/a>, alate za preuzimanje i jo\u0161 mnogo toga,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>VenomRAT<\/em> zlonamjerni softver \u0161ifruje sve <em>C2<\/em> sesije koriste\u0107i certifikat koji je naveden u njegovoj konfiguraciji kao mjeru za dodatnu sigurnost i skrivenost. Ovo ote\u017eava alatima za analizu mre\u017enog saobra\u0107aja da otkriju zlonamjernu komunikaciju izme\u0111u zara\u017eenog sistema i <em>C2<\/em> servera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Zlonamjerni softver koristi tehnike protiv obrnutog in\u017einjeringa kao \u0161to su zamagljivanje k\u00f4da i \u0161ifrovanje da bi ote\u017eao analizu svog izvornog k\u00f4da <a href=\"https:\/\/sajberinfo.com\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosnim istra\u017eiva\u010dima<\/a> ili <a href=\"https:\/\/sajberinfo.com\/2022\/03\/30\/hakeri-sivi-sesiri-epizoda-4\/\" target=\"_blank\" rel=\"nofollow noopener\">lovcima na prijetnje<\/a>. To ote\u017eava otkrivanje, analizu i neutralizaciju zlonamjernog softvera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>VenomRAT<\/em> zlonamjerni softver koristi razli\u010dite mehanizme postojanosti kako bi osigurao da ostane na zara\u017eenom sistemu \u010dak i nakon ponovnog pokretanja ili drugih poku\u0161aja da se ukloni. Ovi mehanizmi uklju\u010duju ubrizgavanje u legitimne procese, modifikovanje datoteka za pokretanje sistema ili kori\u0161\u0107enje klju\u010deva sistemskih registara,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Nakon svih navedenih, jedna od najopasnijih mogu\u0107nosti koju <em>VenomRAT<\/em> zlonamjerni softver pru\u017ea je mogu\u0107nosti daljinskog pristupa za napada\u010de. Ova mogu\u0107nost napada\u010dima omogu\u0107ava da preuzmu potpunu daljinsku kontrolu nad zara\u017eenim sistemom, \u0161to se mo\u017ee iskoristiti za razne zlonamjerne aktivnosti kao \u0161to su kra\u0111a podataka, izvi\u0111anje mre\u017ee i \u0161irenje dodatnog zlonamjernog softvera.<\/span><\/li>\n<\/ol>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Zlonamjerni_dodaci\"><\/span><strong><span style=\"font-size: 14pt;\">Zlonamjerni dodaci<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>NanoCore<\/em>, <em>Remcos<\/em> i <em>XWorm<\/em> su tri razli\u010dite porodice zlonamjernog softvera koje su povezane sa zlonamjernim akterima koji stoje iza <em>VenomRAT<\/em> zlonamjernog softvera. Ove porodice zlonamjernog softvera pro\u0161iruju mogu\u0107nosti <em>VenomRAT<\/em> zlonamjernog softvera tako \u0161to pru\u017eaju dodatne funkcionalnosti za kra\u0111u podataka, pra\u0107enja korisni\u010dkog unosa i neovla\u0161teni pristup sistemu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>NanoCore<\/em> je ozlogla\u0161eni <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanac <\/a>za daljinski pristup (<em>RAT<\/em>) koji je prvi put otkriven 2013. godine. Popularnost je stekao zbog svoje sposobnosti da daljinski pristupa i kontroli\u0161e ra\u010dunare \u017ertve bez njihovog znanja. <em>NanoCore<\/em> se distribuira preko zamagljenih <em>VBS<\/em> datoteka, koje su \u010desto preru\u0161ene u legitiman softver ili priloge elektronske po\u0161te. Zlonamjerni softver koristi steganografske metode da sakrije zlonamjerni k\u00f4d unutar slika, \u0161to ote\u017eava otkrivanje za bezbjednosna rje\u0161enja. Kada se izvr\u0161i, <em>NanoCore<\/em> uspostavlja vezu sa svojim serverom za komandu i kontrolu (<em>C2<\/em>), daju\u0107i napada\u010dima potpunu kontrolu nad kompromitovanim sistemima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Remcos<\/em> je jo\u0161 jedan <em>RAT<\/em> koji je prvobitno bio legitiman softver za daljinsko upravljanje, ali su ga zlonamjerni akteri prenamijenili u zlonamjerne svrhe. Sli\u010dno <em>NanoCore<\/em> zlonamjernom softveru, <em>Remcos<\/em> se distribuira kroz zamagljene <em>VBS<\/em> datoteke i koristi tehnike steganografije da sakrije svoje prisustvo. Jednom instaliran na sistemu \u017ertve, <em>Remcos<\/em> daje napada\u010dima mogu\u0107nost da dobiju osjetljive informacije kao \u0161to su pritisak na tastere i akreditivi. Tako\u0111e omogu\u0107ava daljinsku kontrolu kompromitovanog ure\u0111aja, omogu\u0107avaju\u0107i napada\u010dima da izvr\u0161e komande i instaliraju dodatni zlonamjerni softver.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>XWorm<\/em> je <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/worm\/\" target=\"_blank\" rel=\"nofollow noopener\">crv<\/a> koji se \u0161iri putem priloga elektronske po\u0161te ili prenosivih medija. Kada se izvr\u0161i, <em>XWorm<\/em> uspostavlja vezu sa svojim <em>C2<\/em> serverom i preuzima i instalira drugi zlonamjerni softver. Ovo omogu\u0107ava napada\u010dima da pro\u0161ire svoj domet na kompromitovanim mre\u017eama inficiranjem vi\u0161e sistema bez potrebe za dodatnim naporom.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kao \u0161to je ve\u0107 re\u010deno, veza izme\u0111u <em>VenomRAT<\/em> zlonamjernog softvera i ove tri porodice zlonamjernog softvera le\u017ei u njihovoj upotrebi kao dodataka ili modula za <em>VenomRAT<\/em> napade. Sigurnosni istra\u017eiva\u010di su do\u0161li do zaklju\u010dka da napada\u010di postavljaju <em>NanoCore<\/em>, <em>Remcos<\/em>, <em>XWorm<\/em> i specijalizovani softver za kra\u0111u kripto nov\u010danika zajedno sa <em>VenomRAT<\/em> zlonamjernim softverom kako bi pro\u0161irili domet svojih napada, \u010dine\u0107i <em>VenomRAT<\/em> jo\u0161 sna\u017enijom prijetnjom.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong><span style=\"font-size: 14pt;\">ZAKLJU\u010cAK<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>VenomRAT<\/em> zlonamjerni softver je sofisticirani trojanac za daljinski pristup dizajniran da izbjegne detekciju na razli\u010dite na\u010dine koriste\u0107i vi\u0161estruki korisni tereti za zaobila\u017eenje mehanizama za\u0161tite. Njegov primarni cilj je da dobije neovla\u0161teni pristup i kontrolu nad ciljanim sistemima, omogu\u0107avaju\u0107i napada\u010dima da izvr\u0161e zlonamjerne aktivnosti bez znanja ili pristanka \u017ertve. Proces infekcije varira u zavisnosti od okru\u017eenja, \u0161to ga \u010dini raznovrsnom prijetnjom koja se mo\u017ee prilagoditi razli\u010ditim okru\u017eenjima. Kao i svaki <em>RAT<\/em>, <em>VenomRAT<\/em> zlonamjerni softver predstavlja zna\u010dajne rizike i trebalo bi ga ozbiljno shvatiti kako organizacije tako i pojedinci.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako bi korisnici za\u0161titili svoje ure\u0111aje, evo nekoliko preporu\u010denih radnji za za\u0161titu od <em>VenomRAT<\/em> zlonamjernog softvera:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Napadi prvenstveno po\u010dinju sa <em>phishing<\/em> porukama elektronske po\u0161te koje sadr\u017ee veze ili priloge koji mogu dovesti do infekcije <em>VenomRAT<\/em> zlonamjernim softverom. Zbog toga je od su\u0161tinskog zna\u010daja da korisnici budu posebno pa\u017eljivi kada rukuju sa takvim porukama elektronske po\u0161te i da izbjegavaju klikove na sumnjive veze ili otvaranje neprovjerenih priloga elektronske po\u0161te,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je koristiti pouzdan antivirusni softver koji mo\u017ee pomo\u0107i u za\u0161titi sistema od zlonamjernog softvera kao \u0161to je <em>VenomRAT<\/em>. Tako\u0111e je potrebno osigurati da je antivirusni softver konfigurisan da skenira sve dolazne elektronske poruke, internet saobra\u0107aj i datoteke u realnom vremenu,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Odr\u017eavati sve instalirane aplikacije, operativni sistemi i dodatke a\u017euriranim sa najnovijim bezbjednosnim ispravkama. Zastareli softver mo\u017ee ostaviti ranjivosti otvorene za napada\u010de da ih iskoriste,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti jake <a href=\"https:\/\/sajberinfo.com\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinke<\/a> i autentifikaciju u vi\u0161e koraka\u00a0 (eng. <em>multi-factor authentication \u2013 MFA<\/em>). Primjena jake politike lozinki i omogu\u0107avanje autentifikaciju u vi\u0161e koraka na kriti\u010dnim nalozima mo\u017ee pomo\u0107i u spre\u010davanju neovla\u0161tenog pristupa \u010dak i ako su akreditivi korisnika ukradeni,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Vr\u0161iti redovnu obuku zaposlenih o najnovijim taktikama <em>phishinga<\/em>, tehnikama dru\u0161tvenog in\u017eenjeringa i praksama bezbjednog pretra\u017eivanja interneta. Manje je vjerovatno da \u0107e dobro obavije\u0161ten tim zaposlenih nasjesti na ciljane napade, ako su upoznati kako oni funkcioni\u0161u,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Konfigurisati filtere za ne\u017eeljenu po\u0161tu na serveru elektronske po\u0161te organizacije ili dobavlja\u010da usluga da blokiraju sumnjive elektronske poruke na osnovu analize sadr\u017eaja, reputacije po\u0161iljaoca i drugih faktora. Ovo mo\u017ee pomo\u0107i u spre\u010davanju poku\u0161aja <em>phishinga<\/em> napada da stignu u prijemno sandu\u010de korisnika,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti <a href=\"https:\/\/sajberinfo.com\/2021\/10\/17\/vpn-sigurno-mrezno-povezivanje\/\" target=\"_blank\" rel=\"nofollow noopener\">virtualnu privatnu mre\u017eu (<em>VPN<\/em>)<\/a> kada se pristupa osjetljivim podacima preko javnih mre\u017ea, da bi se \u0161ifrovala internet komunikacija i za\u0161titila od potencijalnih <a href=\"https:\/\/sajberinfo.com\/2023\/09\/17\/man-in-the-middle-attack-mitm\/\" target=\"_blank\" rel=\"nofollow noopener\">napada \u010dovjeka u sredini<\/a> (eng. <em>man-in-the-middle attacks<\/em>),<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno pregledati sistemske evidencije, mre\u017eni saobra\u0107aj i pona\u0161anje korisnika za bilo kakve neuobi\u010dajene ili potencijalno zlonamjerne aktivnosti. Implementirati rje\u0161enja za bezbjednosne informacije i upravljanje doga\u0111ajima (eng. <em>security information and event management \u2013 SIEM<\/em>) kako bi se automatizacijom ovog procesa i pobolj\u0161ali mogu\u0107nosti otkrivanja prijetnji.<\/span><\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>Masovna phishing kampanja \u010diji je cilj isporuka VenomRAT zlonamjernog softvera cilja razli\u010dite sektore u Latinskoj Americi, prvenstveno Meksiko, Kolumbiju, Portugal, Brazil, Dominikansku Republiku i Argentinu, ali i\u00a0 \u0160paniju i Sjedinjene Ameri\u010dke Dr\u017eave. Cilj ove&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6537,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1155,1157,1154,1153,93,1151,282,1152,1156,1150],"class_list":["post-6535","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-amsibypass","tag-batcloak-tool","tag-etwbypass","tag-evasion-techniques","tag-malware","tag-phishing-attacks","tag-remote-access-trojan","tag-scrubcrypt-campaign","tag-svgfiles","tag-venomrat"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6535","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6535"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6535\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6537"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6535"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6535"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6535"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}