Последняя версия Neptune RAT, сложного троянца для удаленного доступа (RAT), была идентифицирована как серьезная угроза из-за его расширенных возможностей и стойкого характера. Это вредоносное ПО распространяется через различные платформы, включая GitHub, и использует команды PowerShell для загрузки и выполнения вредоносных скриптов.
Методы распространения
Neptune RAT использует следующие команды PowerShell:
- irm (Invoke-RestMethod)
- iex (Invoke-Expression)
Эти команды облегчают загрузку вредоносных скриптов, хранящихся на внешних сайтах, таких как catbox.moe. После запуска программа устанавливается в папку AppData и устанавливает соединение с сервером управления, используя различные методы обфускации, чтобы предотвратить анализ.
Структура и функциональность
Neptune RAT кодируется на Visual Basic .NET и использует высоко модульную конструкцию. Он включает в себя несколько библиотек DLL, такие как Randomeware.dll и Clipper.dll, которые предназначены для различных вредоносных операций:
- Атаки программ-вымогателей
- Кража информации о криптовалюте
Программа также обладает функцией захвата паролей, способной извлекать учетные данные из более чем 270 приложений, включая популярные браузеры и почтовые клиенты.
Защитные механизмы и скрытность
Neptune RAT использует передовые методы антианализа, такие как:
- Обнаружение виртуальных машин
- Изменение реестра Windows
- Создание постоянных задач с помощью планировщика задач
Эти стратегии помогают ему оставаться незамеченным в течение длительного времени. Вредоносная программа также хранит конфиденциальные строки, такие как ключи шифрования, в пользовательской кучи, усложняя обратное проектирование. Использование арабских символов в коде служит дополнительным методом обфускации.
Влияние на пользователей и организации
Когда Neptune RAT активирует функцию программы-вымогателя, жертвы получают уведомление о требовании выкупа с инструкциями, демонстрирующими изощренные методы таргетинга и оперативные стратегии авторов вредоносного ПО. Разработчик, идентифицирующий себя с группой, связанной с масонством, стратегически позиционировал это вредоносное ПО как инструмент злонамеренного намерения.
В конечном счете, Neptune RAT представляет собой серьезную угрозу как для отдельных лиц, так и для организаций,
что требует надежного мониторинга и защиты конечных устройств.
Специальное внимание к стратегиям анализа угроз стане необходимость для противодействия и смягчения их воздействия.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Neptune RAT: Новейшая угроза для кибербезопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.