Grupo CetaRAT APT – Orientación a las agencias gubernamentales


CetaRAT se vio por primera vez en la Operación SideCopy APT. Ahora está expandiendo continuamente su actividad desde entonces. Hemos estado rastreando esta RAT durante mucho tiempo y observamos un aumento en la selección de agencias gubernamentales de la India.

La cadena de infección de CetaRAT comienza con un correo de Spear phishing con un archivo adjunto de correo malicioso. El archivo adjunto puede ser un archivo zip que descarga un archivo HTA desde una URL remota comprometida. Una vez que este archivo HTA se ejecuta usando mshta.exe, suelta y ejecuta la carga útil de CetaRAT que inicia la actividad de CnC.
Cadena de ataque

Después de la ejecución del archivo HTA, observamos dos comportamientos diferentes:

En el primer método, crea y ejecuta el archivo JavaScript en la ubicación «C: \ ProgramData». El código de secuencia de comandos abre el documento señuelo, que está relacionado con temas y notificaciones gubernamentales. Al mismo tiempo, la carga útil ejecutable de CetaRAT se coloca en la ubicación de inicio y la operación del script puede dormir durante un tiempo y reiniciar la máquina.

Fig 1. Código JavaScript.

Fig 1. Código JavaScript.

El segundo método observado, la creación y ejecución de archivos por lotes en la carpeta de nombre aleatorio en la unidad C en la máquina de la víctima, que contiene las instrucciones para agregar la entrada de registro en «HKCU SOFTWARE Microsoft Windows CurrentVersion Run» con la ruta del ejecutable CetaRAT carga útil. En esta variante, el ejecutable se coloca en la ubicación% AppData / Roaming%.

Fig 2. Documento señuelo.

Fig 2. Documento señuelo.

Fig 3. Documento señuelo

Fig 3. Documento señuelo

CetaRAT es una familia RAT basada en C # que extrae los datos del usuario y los envía al servidor CnC. Una vez que se ejecuta, primero, verificará los detalles del producto AV en ejecución desde la máquina con la función Getans () y enviará los detalles al servidor CnC.

Fig 4. Obtener detalles de AV de la máquina.

Fig 4. Obtenga los detalles de AV de la máquina.

La función Start () utiliza la obtención de detalles de las máquinas, como el nombre de la computadora, los detalles del sistema operativo, la dirección IP, los detalles de la memoria, el procesador en ejecución, etc., y lo carga en el servidor CnC. Estos datos se cifran antes de cargarlos en CnC.

Fig 5. Obtenga todos los detalles de Machine.

Fig 5. Obtenga todos los detalles de Machine.

La función GetIP () se utiliza en esta actividad RAT para obtener la información de IP de la máquina en ejecución. Aquí el dominio «checkip.dydnd.org» se utiliza para este propósito. Esta función devuelve la dirección IP de la máquina.

Fig 6. Obtenga detalles de IP.

Fig 6. Obtenga detalles de IP.

En la siguiente actividad, la RAT usa comandos para extraer los datos y para las operaciones de archivos, a continuación se muestran los detalles de los comandos:

  • Descargar: utilizar datos de descarga
  • Cargar: cargue los datos al servidor CnC.
  • Descargar .exe: se usa para descargar y luego ejecutar el archivo.
  • Creado: para crear el directorio en el sistema.
  • Cambiar nombre: utilizar para cambiar el nombre del archivo
  • Eliminar: se utiliza para eliminar archivos o datos.
  • Pantalla: tome una captura de pantalla del sistema.
  • Ejecutar: se utiliza para ejecutar el código.
  • Shellexe: utilizado para ejecutar la carga útil
  • Proceso- información de técnicas.
  • Pkill: para matar el proceso en ejecución.
  • Lista- lista de procesos.
Fig 7. Comandos utilizados para exfiltrar datos.

Fig 7. Los comandos se utilizan para extraer datos.

Después de recopilar información de la máquina del usuario, CetaRAT utiliza el algoritmo RC4 para cifrar los datos antes de subirlos al servidor CnC.

Fig 8. Utilice el cifrado RC4

Fig 8. Utilice el cifrado RC4

Una vez que los datos están encriptados, se filtrarán al servidor CnC usando el método POST HTTP. Podemos ver tres IP de servidor CnC mencionadas en el código siguiente, con la palabra clave «ceta».

Fig 9. Servidores CnC.

Fig 9. Servidores CnC.

Fig 10. Wireshark captura el tráfico.

Fig 10. Wireshark captura el tráfico.

IOC-> (MD5)

Archivo HTA

  • 9DEF22BE73D2713600B689F3074F3841
  • 849CA729063AAAD53BC743A7D476C63E
  • 0BA023D0CD30E77001A78B4CBA017ADE

Carga útil de CetaRAT

  • 532ACBADB8151944650AAECC0A397965
  • 0058B40AEA4B981E0FC619250FC64EA3
  • 04213947D30FC4205A0C4D0674A27151

Carga útil JS / Batch

  • 4B85ADE5E9790BDC63B80AD8EF853D40
  • 6F0672BBD0700AC61D1EDF201C4CABFF
  • 6DC67068A93E05A35E90CF066F33B79E

Documentos señuelo

  • 5AA26DCD3CA84DB8963688BE491E8ABE
  • F509CF7605566EE74DE5AABF7FEF3C61

IPs

  • 207.180.230.63
  • 164.68.104.126
  • 164.68.108.22

Conclusión

CetaRAT está extrayendo datos que simplemente entregan mecanismos e infectan agresivamente a la víctima. Podría filtrar datos confidenciales de una organización gubernamental, lo que afecta las actividades dañinas en los países. Recomendamos a nuestros clientes que no accedan a correos electrónicos / archivos adjuntos sospechosos y que mantengan actualizado su software antivirus para proteger sus sistemas de un malware tan complejo.

Prashant Tilekar

Prashant Tilekar