09/09/22
Согласно отчету Cisco Talos , впервые MagicRAT был замечен в сетях жертв, которые использовали подключенные к интернету серверы VMware Horizon. По словам исследователей, троян был создан с помощью фреймворка Qt, чтобы затруднить анализ и снизить вероятность обнаружения системами безопасности.
Чтобы закрепиться в системе, троян создает запланированные задачи. Функционал у MagicRat довольно прост – вредонос предоставляет злоумышленникам удаленную оболочку, позволяющую выполнять произвольные команды и манипулировать файлами жертвы.
Из дополнительных функций трояна стоит отметить возможность запуска дополнительных полезных нагрузок на зараженных узлах, пишут в Securitylab. Полезные нагрузки поставляются с C&C-сервера хакеров вместе с GIF-файлом, который является облегченным сканером портов.
Кроме того, C&C-инфраструктура, связанная с MagicRAT, содержит в себе новые версии бэкдора TigerRAT, который разработан группировкой Andariel и предназначен для выполнения произвольных команд на устройстве жертвы, создания скриншотов, кейлоггинга и сбора системной информации. Стоит отметить, что в последней версии TigerRAT появилась функция, позволяющая злоумышленникам находить файлы с определенными расширениями.
Исследователи из Cisco Talos считают, что MagicRAT – знак того, что группировка Lazarus стремится быстро создавать новые, незаметные вредоносные программы, чтобы объединять их с другими вредоносами и совершать разрушительные атаки на организации по всему миру.
