CetaRAT APT Group – Gericht op de overheidsinstanties


CetaRAT werd voor het eerst gezien in de Operation SideCopy APT. Nu breidt het zijn activiteiten sindsdien voortdurend uit. We hebben deze RAT lange tijd gevolgd en hebben een toename waargenomen in het targeten van de Indiase overheidsinstanties.

De CetaRAT-infectieketen begint met een Spear-phishingmail met een kwaadaardige e-mailbijlage. De bijlage kan een zipbestand zijn dat een HTA-bestand downloadt van een externe, gecompromitteerde URL. Zodra dit HTA-bestand is uitgevoerd met mshta.exe, wordt het verwijderd en wordt de CetaRAT-payload uitgevoerd die de CnC-activiteit start.
Aanvalsketen

Na de uitvoering van het HTA-bestand hebben we twee verschillende gedragingen waargenomen:

Bij de eerste methode wordt het JavaScript-bestand gemaakt en uitgevoerd op de locatie “C:\ProgramData”. De scriptcode opent het lokdocument, dat betrekking heeft op overheidsonderwerpen en -meldingen. Tegelijkertijd wordt de uitvoerbare payload van CetaRAT gedropt op de opstartlocatie en kan de scriptbewerking enige tijd in de slaapstand blijven en de machine opnieuw opstarten.

Fig 1. JavaScript-code.

Fig 1. JavaScript-code.

De tweede waargenomen methode, het maken en uitvoeren van batchbestanden in een willekeurige naammap op de C-schijf op de computer van het slachtoffer, die de instructies bevat om registervermelding toe te voegen aan “HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun” met het pad van het uitvoerbare CetaRAT-bestand laadvermogen. In deze variant wordt het uitvoerbare bestand neergezet op de locatie %AppData/Roaming%.

Fig 2. Lokdocument.

Fig 2. Lokdocument.

Fig 3. Lokdocument

Fig 3. Lokdocument

De CetaRAT is een op C# gebaseerde RAT-familie die de gegevens van de gebruiker exfiltreert en naar de CnC-server stuurt. Zodra het is uitgevoerd, zal het eerst de actieve AV-productdetails van de machine controleren met de functie Getans() en details naar de CnC-server sturen.

Fig 4. GetAV details van Machine.

Fig 4. Haal AV-details op van Machine.

Functie Start() gebruikt de get-details van machines zoals computernaam, OS-details, IP-adres, geheugendetails, draaiende processor, enz., en uploadt deze naar CnC Server. Deze gegevens worden versleuteld voordat ze worden geüpload naar CnC.

Fig 5. Krijg alle details van Machine.

Fig 5. Krijg alle details van Machine.

De functie GetIP() wordt in deze RAT-activiteit gebruikt om de IP-informatie van de draaiende machine op te halen. Hier wordt domein “checkip.dydnd.org” voor dit doel gebruikt. Deze functie retourneert het IP-adres van de machine.

Fig 6. IP-gegevens ophalen.

Fig 6. IP-gegevens ophalen.

In de volgende activiteit gebruikt de RAT opdrachten om de gegevens te exfiltreren en voor bestandsbewerkingen staan ​​hieronder de details van de opdrachten:

  • Download- gebruik downloadgegevens
  • Upload- Upload de gegevens naar de CnC-server.
  • Download .exe- het wordt gebruikt om te downloaden en vervolgens om het bestand uit te voeren.
  • Gemaakt – voor het maken van de map op het systeem.
  • Hernoemen – gebruiken voor hernoemen bestand
  • Verwijderen – gebruik voor het verwijderen van bestanden of gegevens.
  • Scherm – maak een screenshot van het systeem
  • Run- gebruikt voor het uitvoeren van de code.
  • Shellexe – gebruikt voor het uitvoeren van de payload
  • Proces- informatie van technieken.
  • Pkill- Om het lopende proces te beëindigen.
  • Lijst – lijst met processen.
Fig 7. Commando's die worden gebruikt om gegevens te exfiltreren.

Fig 7. Commando’s worden gebruikt om gegevens te exfiltreren.

Na het verzamelen van informatie van de computer van de gebruiker, gebruikt CetaRAT het RC4-algoritme om gegevens te coderen voordat deze naar de CnC-server worden geüpload.

Fig 8. Gebruik RC4-codering

Fig 8. Gebruik RC4-codering

Zodra de gegevens zijn versleuteld, worden ze naar de CnC-server geëxfiltreerd met behulp van de POST HTTP-methode. We kunnen drie CnC-server-IP’s zien die in de onderstaande code worden genoemd, met het trefwoord “ceta”.

Fig 9. CNC-servers.

Fig 9. CNC-servers.

Fig 10. Wireshark legt verkeer vast.

Fig 10. Wireshark legt verkeer vast.

IOC’s-> (MD5)

HTA-bestand-

  • 9DEF22BE73D2713600B689F3074F3841
  • 849CA729063AAAD53BC743A7D476C63E
  • 0BA023D0CD30E77001A78B4CBA017ADE

CetaRAT-lading-

  • 532ACBADB8151944650AAECC0A397965
  • 0058B40AEA4B981E0FC619250FC64EA3
  • 04213947D30FC4205A0C4D0674A27151

JS/Batch-lading-

  • 4B85ADE5E9790BDC63B80AD8EF853D40
  • 6F0672BBD0700AC61D1EDF201C4CABFF
  • 6DC67068A93E05A35E90CF066F33B79E

Lokdocumenten-

  • 5AA26DCD3CA84DB8963688BE491E8ABE
  • F509CF7605566EE74DE5AABF7FEF3C61

IP’s-

  • 207.180.230.63
  • 164.68.104.126
  • 164.68.108.22

Conclusie

CetaRAT is het exfiltreren van gegevens die eenvoudig mechanismen leveren en het slachtoffer agressief infecteren. Het kan gevoelige gegevens van een overheidsorganisatie lekken, wat gevolgen heeft voor schadelijke activiteiten in de landen. We raden onze klanten aan om geen toegang te krijgen tot verdachte e-mails/bijlagen en om hun AV-software up-to-date te houden om hun systemen te beschermen tegen dergelijke complexe malware.

Prashant Tilekar

Prashant Tilekar