Smaller Default Larger

Eksperci FireEye przeprowadzili analizę publicznie dostępnego trojana typu RAT (remote access Trojan) o nazwie XtremeRAT, który był wykorzystywany zarówno przy atakach ukierunkowanych, jak i tradycyjnych atakach cyberprzestępców. Coraz częściej cyberprzestępcy, zamiast tworzyć własne złośliwe oprogramowanie, korzystają z dostępnych bezpłatnie lub „komercyjnie” Trojanów RAT, które posiadają odpowiednie funkcje umożliwiające przeprowadzenie działań cyberszpiegowskich.

Eksperci FireEye przeprowadzili analizę publicznie dostępnego trojana typu RAT (remote access Trojan) o nazwie XtremeRAT, który był wykorzystywany zarówno przy atakach ukierunkowanych, jak i tradycyjnych atakach cyberprzestępców. Coraz częściej cyberprzestępcy, zamiast tworzyć własne złośliwe oprogramowanie, korzystają z dostępnych bezpłatnie lub „komercyjnie” Trojanów RAT, które posiadają odpowiednie funkcje umożliwiające przeprowadzenie działań cyberszpiegowskich.

Rather than building custom malware, many threat actors behind targeted attacks use publicly or commercially available remote access Trojans (RATs). This pre-built malware has all the functionality needed to conduct cyber espionage and is controlled directly by humans, who have the ability to adapt to network defenses. As a result, the threat posed by these RATs should not be underestimated.

However, it is difficult to distinguish and correlate the activity of targeted threat actors based solely on their preference to use particular malware — especially, freely available malware. From an analyst’s perspective, it is unclear whether these actors choose to use this type of malware simply out of convenience or in a deliberate effort to blend in with traditional cybercrime groups, who also use these same tools.

There are numerous RATs available for free and for purchase in online forums, chat rooms and market places on the Internet. Most RATs are easy to use and thus attract novices. They are used for a variety of criminal activity, including “sextortion”. [1] The ubiquity of these RATs makes it difficult to determine if a particular security incident is related to a targeted threat, cybercrime or just a novice “script kiddie” causing a nuisance.

Although publicly available RATs are used by a variety of operators with different intents, the activity of particular threat actors can still be tracked by clustering command and control server information as well as the information that is set by the operators in the builder. These technical indicators, combined with context of an incident (such as the timing, specificity and human activity) allow analysts to assess the targeted or non-targeted nature of the threat.

In this post, we examine a publicly available RAT known as XtremeRAT. This malware has been used in targeted attacks as well as traditional cybercrime. During our investigation we found that the majority of XtremeRAT activity is associated with spam campaigns that typically distribute Zeus variants and other banking-focused malware. Why have these traditional cybercrime operators begun to distribute RATs? This seems odd, considering RATs require manual labor as opposed to automated banking Trojans.