Rileva il malware Borat Remote Access
Indice:
Un nuovo strumento di accesso remoto ingannevole chiamato Borat RAT è stato trovato da ricercatori di sicurezza informatica. Proprio come suggerisce il nome, è un mix pazzesco di cose difficile da comprendere. Borat Trojan è una raccolta di moduli malware forniti con un builder e un certificato server che include più di 10 funzioni dannose.
Se Borat entra nel sistema, è in grado di prendere il controllo del mouse e della tastiera, dei file e delle risorse di rete, capace di registrazione video e audio, furto di credenziali, DDoS, ransomware, keylogging e molto altro. Per di più, Borat RAT offusca i dati per rendere la sua presenza impercettibile. Scopri di più sulle soluzioni che proponiamo per rilevare il malware sopra menzionato.
Rilevamento Malware di Accesso Remoto Borat
Puoi rilevare i generatori Borat (RAT) implementando la nuova regola creata dal nostro sviluppatore di Threat Bounty Furkan Celik.
Questa regola è tradotta nei seguenti formati SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender per Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.
La regola è allineata con il framework MITRE ATT&CK® v.10, affrontando la tattica Command and Control e la tecnica Ingress Tool Transfer (T1105).
Come sapete, gli avversari non si fermano dopo aver sviluppato un certo malware e anche quando lo stanno vendendo con successo su un mercato del dark web. Invece, continuano a rinnovare e perfezionare le loro creazioni in itinere. Per evitare la situazione in cui si mancano gli aggiornamenti più recenti di Borat RAT, visualizza l’elenco di tutti i rilevamenti disponibili per questo attacco informatico fino ad oggi. Puoi affinare i tuoi criteri di ricerca per soddisfare le esigenze specifiche nella sezione Ricerca Avanzata.
Inoltre, se sei un cacciatore di minacce o un ingegnere del rilevamento, c’è la possibilità di ottenere riconoscimento e benefici monetari iscrivendoti alla nostra iniziativa di crowdsourcing. Crea i tuoi rilevamenti personalizzati, inviali alla piattaforma e aiuta ad aumentare la resilienza informatica globale.
Visualizza Rilevamenti Unisciti a Threat Bounty
Analisi Borat RAT
Come abbiamo menzionato sopra, esiste una moltitudine di funzioni di Borat che i ricercatori hanno diviso in alcune principali categorie:
- Remote hVNC — desktop e browser nascosti
- Remote Fun — monitor on/off, mostra/nascondi barra delle applicazioni, orologio, barra delle notifiche, mouse, ecc., abilita/disabilita il Task Manager, disabilita UAC, e altro
- Remote System — shell remota, proxy inverso, editor del registro di sistema, file manager, connessione TCP e altro
- Caratteristiche del Stub — cambio del nome cliente, disabilita Defender, cambio del nome del registro, anti-kill, abilita keylogger e altro
- Recupero Password — Chrome e Edge
- RAT + HVNC — funzioni HVNC più download ed esecuzione remoti
Per una facile navigazione attraverso una funzionalità così ampia, gli attaccanti hanno creato una dashboard speciale dove un utente malintenzionato può scegliere i suoi obiettivi attuali e, se necessario, compilare un binario per DDoS e ransomware.
Borat RAT è potenzialmente un malware molto pericoloso perché è un mix unico di RAT, ransomware, uno strumento DDoS e uno spyware tutto-in-uno. Installando solo un Trojan, gli avversari sono in grado di lanciare una vasta gamma di attacchi. Possono scegliere se vogliono dirottare i controlli del dispositivo, rubare informazioni, alterare le impostazioni di sistema o cancellare file. La piattaforma di rilevamento come codice di SOC Prime offre un approccio collaborativo alla difesa informatica, unendo i più rinomati specialisti di sicurezza informatica al mondo per creare e condividere elementi di rilevamento tempestivi, in modo che le organizzazioni possano sempre essere un passo avanti rispetto alle minacce emergenti.
