Vxers desarrollado una nueva versión de GovRAT, que se ha utilizado para orientar el gobierno y muchas otras organizaciones en los EE.UU
GovRAT Es una herramienta vieja ciberespionaje, que nacio en el 2014 y que fue utilizado por diversos actores de amenazas a través de los años. Los expertos en seguridad de la compañía de inteligencia de amenazas detectadas por primera vez InfoArmor el malware en 2015.
GovRAT una plataforma de hacking que permite la creación de malware, que viene incluido con certificados digitales de firma de código. Los mismos certificados digitales se les ofreció inicialmente a la venta en el mercado negro TheRealDeal Mercado alojado en la red Tor. En 2015, GovRAT fue puesto a la venta por 1,25 Bitcoin, pero los expertos observarón que el creador también estuvo ofreciendo ventas privadas.
La herramienta GovRAT firma digitalmente el código malicioso con herramientas de firma de código, como Microsoft SignTool, WinTrust, y la tecnología Authenticode. Los expertos consideran que el cliente final para GovRAT son grupos APT dirigidas a los empleados políticos, diplomáticos y militares de más de 15 gobiernos de todo el mundo.
El autor de la GovRAT va en línea con el apodo de "BestBuy" había estado ofreciendo su código fuente, incluyendo un certificado digital de firma de código, casi por 4,5 Bitcoin en el mercado negro TheRealDeal.
La disponibilidad del código fuente libre permite que cualquiera pueda modificar el código fuente y mejorarlo, y es lo que está sucediendo con el GovRAT 2.0.
Vxers ha publicado recientemente una nueva versión de la RAT, los llamados GovRAT 2.0 que ha sido utilizado por los hackers para atacar al Gobierno de Estados Unidos y otras organizaciones en el país.
Después del primer informe publicado por InfoArmor, BestBuy comenzó a usar también el apodo de "Popopret."
La nueva cepa de GovRAT 2.0 incluye varias características nuevas, incluyendo los métodos de evasión mejorada, detección de ejecución remota de comandos, el mapeo automáticamente los discos duros y unidades compartidas de red.
A continuación la lista completa de las características introducidas en el GovRAT 2,0 publicado por InfoArmor.
- Acceso a C & C con cualquier navegador.
- Compilar C & C para Linux o Windows.
- No se puede invertir sin la clave privada. 0 días anti-depuración.
- Mapea automáticamente todos los discos duros y los discos de red.
- Crea un mapa de archivos para navegar incluso cuando el objetivo está en línea.
- Shell remoto / ejecución del comando.
- Subir archivos o subir y ejecutar archivos para apuntar.
- Descarga de archivos de destino. Todos los archivos están comprimidos con LZMA para descargas más rápidas y se cifran en el transporte.
- Encriptación a medida para las comunicaciones. No hay dos máquinas van a utilizar la misma clave (nunca).
- Soporte SSL para la comunicación. (Usted tiene que obtener su propio certificado SSL válido * * utilizar este).
- No usa bibliotecas SOCKS. Utiliza las API de Windows para comunicarse especiales y no puede ser bloqueada.
- C & C crea una contraseña de una sola vez cada vez que el usuario inicia sesión en para mayor seguridad.
- Viene con fuente de FUD keylogger que envía las claves a otro servidor.
- Excelente para las campañas a largo plazo que se necesita una conexión estable.
Otra característica interesante implementado por el programa malicioso es su capacidad para propagarse a través de dispositivos USB y los recursos compartidos de red, como un gusano.
Los precios van desde 1,000 dolares la opcion básica y el código para el mando y control, hasta 6,000 dolares para un paquete completo que incluye el código fuente de todos los componentes de la infraestructura malicioso y los módulos adicionales.
Los expertos en seguridad han descubierto varias ofertas de credenciales para muchos dominios del gobierno de EE.UU., incluyendo gsa.gov, va.gov, nasa.gov, nps.gov, faa.gov y state.gov y dominios relacionados con el ejército de Estados Unidos, tales como la marina de guerra .mil, mail.mil, army.mil y af.mil.
"En una de las comunidades subterráneas en la red TOR, el mismo personaje está vendiendo credenciales comprometidas relativas a los servidores FTP de diversas entidades gubernamentales de Estados Unidos"
Las credenciales también se han utilizado múltiples GovRAT 2.0 ataques, los expertos observaron también el uso de otros 33.000 credenciales robadas del gobierno de Estados Unidos, la investigación y las organizaciones educativas proporcionadas por el creador de malware por el hacker conocido como "PoM", también conocido como Peace_of_Mind o Paz .
"Hay otro mal actor identificado como" PoM, "que es un socio de los popopret , y esta relacionado con la venta de 33.000 registros con credenciales del gobierno de Estados Unidos y varias organizaciones de investigación y enseñanza.", segun el informe. "En la descripción posterior, se destaca que los datos se hash, pero fue capaz de descifrarlo y, potencialmente, puede utilizarlo para" acceder a otros organismos, "así como para su uso en el SE (ingeniería social) y las campañas de phishing de lanza. PoM proporciona los datos robados de los empleados del gobierno y militares a otros actores utilizando v2.0 GovRAT para la entrega de malware altamente apuntado. Después de un análisis exhaustivo, se determinó que la mayoría de estos datos se accede desde el Instituto Nacional de Ciencias de la Construcción (http://www.nibs.org/ sitio web hackeado). Contiene numerosos miembros de la investigación, la educación, el gobierno y la comunidad militar. "
OTRAS CATEGORIAS
