Blog Resellerski Norton, Avast i AVG
Jesteś tutaj:Strona główna»Cyberbezpieczeństwo»Neptune RAT kontra XWORM
Neptune RAT kontra XWORM

Neptune RAT kontra XWORM

0
Przez dnia Cyberbezpieczeństwo

Niedawne badanie dotyczące Neptune RAT ujawniło liczne podobieństwa do znanego trojana zdalnego dostępu XWORM. Biorąc pod uwagę rosnącą popularność XWORM (złośliwego oprogramowania napisanego w języku .NET ), odkrycie to skłoniło do przeprowadzenia bardziej szczegółowych analiz, które ujawniły kilka interesujących powiązań między tymi dwiema rodzinami złośliwego oprogramowania.

Spis treści

Neptune RAT kontra XWORM: badanie podobieństw

Badania OSINT, jak podaje w swojej publikacji Ajin Deepak – inżynier ds. analizy zagrożeń w Gendigital, powstałej z połączenia NortonLifeLock i Avast, wykazały kilka wstępnych powiązań, w tym rozwidlenie repozytorium MasonGroup/NeptuneRatV1.

Chociaż oryginalne repozytorium nie jest już dostępne, znalezione forki zawierały kod, który w znacznym stopniu pokrywał się z kodem XWORM. Na szczególną uwagę zasługuje fakt, że obecny konstruktor Neptune RAT wspomina o grupie Freemasonry, co jest zgodne z serwerem Discord zidentyfikowanym podczas analizy.

Neptune RAT vs XWORM: dalsze podobieństwa

Analiza odwrotna Neptune RAT V1 ujawniła dalsze podobieństwa. Chociaż strukturę współdzielonych zasobów można uznać za zbieg okoliczności, schemat szyfrowania jest praktycznie identyczny, ponieważ oba złośliwe oprogramowania wykorzystują AES w trybie ECB, uważanym za niebezpieczny, z tym samym pochodzeniem klucza opartym na hardkodowanym muteksie.

Również mechanizmy trwałości wykazują podobieństwa funkcjonalne i strukturalne. Ponadto funkcja clippera wykorzystuje te same wyrażenia regularne i atakuje te same kryptowaluty, w szczególności adresy Bitcoin legacy, pomijając nowsze standardy, takie jak Bech32.

Na podstawie tych dowodów eksperci Avast uważają, że głębokie podobieństwa między XWORM a Neptune RAT V1, w połączeniu z różnicami w stosunku do innych RAT open source, wyraźnie wskazują na związek między tymi dwoma złośliwymi programami. Podobieństwa te nie obejmują jednak kolejnej wersji: Neptune RAT V2, mimo że zachowuje podobne funkcje, wydaje się być całkowicie przepisanym kodem.

Remote Access Trojan – RAT

RAT to szczególna kategoria trojanów – czyli złośliwych programów udających legalne oprogramowanie – zaprojektowanych w celu zapewnienia cyberprzestępcom pełnej zdalnej kontroli nad zainfekowanym komputerem.

RAT jest prawdziwą ukrytą „bramą serwisową”, która pozwala cyberprzestępcy kontrolować i wykorzystywać zainfekowany system zdalnie, często bez wiedzy użytkownika.

Po zainstalowaniu RAT tworzy ukryte połączenie z serwerem przestępcy, umożliwiając mu wykonywanie poleceń tak, jakby fizycznie znajdował się przed komputerem. Może zbierać hasła, pliki cookie, dokumenty, zrzuty ekranu, nagrania audio/wideo, a nawet dane bankowe. Ponadto automatycznie uruchamia się ponownie, modyfikując rejestr systemowy lub tworząc zaplanowane zadania.

Wiele programów RAT zawiera keyloggery (do rejestrowania wszystkiego, co jest wpisywane), moduły do szpiegowania kamer internetowych i mikrofonów lub komponenty do rozprzestrzeniania się w sieci lokalnej.

AVG Polska

Przedsiębiorstwo Informatyczne CORE

Producent, importer i reseller oprogramowania, wydawca serwisów internetowych. Działa od 2001 roku. Oficjalny dystrybutor AVG. Programy rozprowadzane są przez siatkę ponad 1300 resellerów na terenie całej Polski, zapewniona jest pełna polska pomoc techniczna oraz wsparcie handlowe i marketingowe.

Related Posts

Zostaw wiadomość


The reCAPTCHA verification period has expired. Please reload the page.