Détecter le malware d’accès à distance Borat

[post-views]
avril 08, 2022 · 4 min de lecture
Détecter le malware d’accès à distance Borat

Un nouvel outil d’accès à distance astucieux appelé Borat RAT a été découvert par des chercheurs en cybersécurité. Comme le nom le suggère, c’est un mélange fou de choses qui est difficile à cerner. Borat Trojan est une collection de modules malveillants accompagnée d’un constructeur et d’un certificat serveur qui inclut plus de 10 fonctions malveillantes.

Si Borat entre dans le système, il est capable de prendre le contrôle de la souris et du clavier, des fichiers et des ressources réseau, de réaliser des enregistrements vidéo et audio, de voler des informations d’identification, de faire du DDoS, du rançongiciel, du keylogging, et bien plus encore. De plus, Borat RAT obscurcit les données pour rendre sa présence inaperçue. Découvrez les solutions que nous proposons pour détecter le malware mentionné ci-dessus.

Détection des logiciels malveillants Borat Remote Access

Vous pouvez détecter les générateurs de Borat (RAT) en déployant la dernière règle créée par notre développeur Threat Bounty Furkan Celik.

Détection du Trojan d’accès à distance Borat permettant des attaques par rançongiciel (via file_event)

Cette règle est traduite dans les formats SIEM, EDR & XDR suivants : Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.

La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique de Commande et Contrôle et la technique de Transfert d’Outil d’Entrée (T1105).

Comme vous le savez, les adversaires ne s’arrêtent pas après avoir développé un certain morceau de malware et même lorsqu’ils le vendent avec succès sur un marché du dark web. Au lieu de cela, ils continuent de renouveler et de peaufiner leurs créations en cours de route. Pour éviter la situation où vous manquez les dernières mises à jour de Borat RAT, consultez la liste de toutes les détections disponibles pour cette cyberattaque à ce jour. Vous pouvez affiner vos critères de recherche pour répondre aux besoins spécifiques dans la section Recherche Avancée.

En outre, si vous êtes un chasseur de menaces ou un ingénieur de détection, il y a une chance de gagner reconnaissance et avantages monétaires en vous inscrivant à notre initiative de crowdsourcing. Créez vos propres détections personnalisées, soumettez-les sur la plateforme et contribuez à accroître la résilience cybernétique mondiale.

Voir les détections Rejoindre Threat Bounty

Analyse de Borat RAT

Comme nous l’avons mentionné ci-dessus, il y a une multitude de fonctionnalités de Borat que les chercheurs ont divisées en quelques grandes catégories :

  • hVNC à distance bureau et navigateurs cachés
  • Amusement à distance écran on/off, afficher/cacher la barre des tâches, horloge, plateau, souris, etc., activer/désactiver le gestionnaire de tâches, désactiver UAC, et plus encore
  • Système à distance shell distant, proxy inverse, éditeur de registre, gestionnaire de fichiers, connexion TCP, et plus
  • Fonctionnalités du programme d’amorçage changement de nom du client, désactivation du défenseur, changement de nom de registre, anti-kill, activation du key logger, et plus encore
  • Récupération de mot de passe Chrome et Edge
  • RAT + HVNC caractéristiques HVNC plus téléchargement & exécution à distance

Pour faciliter la navigation à travers une telle fonctionnalité étendue, les attaquants ont créé un tableau de bord spécial où un utilisateur malveillant peut choisir ses objectifs actuels et, si nécessaire, compiler un binaire pour le DDoS et les rançongiciels.

Borat RAT est potentiellement un malware hautement dangereux car c’est un mélange unique de RAT, de rançongiciel, d’un outil DDoS, et d’un spyware tout-en-un. En installant un seul Trojan, les adversaires peuvent lancer toute une gamme d’attaques. Ils peuvent choisir s’ils veulent usurper les contrôles de l’appareil, voler des informations, modifier les paramètres système ou supprimer des fichiers. Plateforme Detection as Code de SOC Prime offre une approche collaborative de la cyberdéfense, réunissant les spécialistes les plus éminents en cybersécurité pour créer et partager des éléments de détection en temps opportun afin que les organisations puissent toujours être quelques étapes en avance sur les menaces émergentes.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Blog, Plateforme SOC Prime — 3 min de lecture
Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Steven Edwards
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Blog, Dernières Menaces — 5 min de lecture
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Veronika Telychko