16:00 | 28.10.20 | Նորություններ | 2941

«Կասպերսկի». GravityRAT կորպորատիվ լրտեսը տեղափոխվել է Android եւ macOS

«Կասպերսկի» ընկերության տվյալներով՝ GravityRAT լրտեսական ծրագիրը, որն օգտագործվում է թիրախային կիբեռգրոհների իրականացման համար առնվազն 2015 թվականից, այժմ իրենից ներկայացնում է բազմահարթակ գործիք։

Այս վնասատուն նախկինում կիրառվել է կիբեռլրտեսության արշավում, որն ուղղված է եղել հնդիկ զինվորականներին, եւ ի սկզբանե մշակվել է Windows-սարքերի համար։ Իսկ այժմ հայտնվել են նոր մոդուլներ, որոնք ուղղված են Android եւ macOS գործառնական համակարգերին։

Փորձագետներն առաջին անգամ իմացել են այն մասին, որ GravityRAT-ը սովորել է գրոհել նաեւ Android-ը, երբ Հնդկաստանով ճանապարհորդություն կատարողների համար հավելվածում տեսել են վնասաբեր մոդուլ, որը պատկանում է տվյալ ընտանիքին: Հետազոտողները հետաքրքրվել են հայտնաբերված նմուշով, քանի որ այն տարբերվել է տիպիկ լրտեսական Android-ծրագրից. ներդրման համար ընտրվել է հատուկ հավելված, իսկ վնասակար կոդը նման չէր այդ տիպի հայտնի ծրագրային ապահովման (ԾԱ) կոդի։ Ահա թե ինչու են նրանք որոշել համադրել կոդն այն ծրագրերի կոդի հետ, որոնք օգտագործվում են կիբերլրտեսության հայտնի արշավների անցկացման համար, եւ արդյունքում հայտնաբերել են ավելի քան տասը վնասակար մոդուլ, որոնք նույնպես պատկանում են GravityRAT ընտանիքին։

Վնասաբեր ծրագիրը տարածվում է այնպիսի օրինական հավելվածների քողի տակ, ինչպիսիք են պաշտպանված ամպային պահոցները, ֆայլերի փոխանակիչները, դիտարկիչները, կենսագրականների ստեղծման ծրագրերը եւ մեդիանվագարկիչները, ինչպես նաեւ տարածվում է թափուր աշխատատեղի քննարկման համար նախատեսված, իբր պաշտպանված մեսենջերի ներբեռնման ֆիշինգային հղումներով։

GravityRAT-ը գրոհում է Windows-ով, Android-ով եւ MacOS-ով աշխատող սարքերը։

Վնասաբեր ծրագիրը կառավարող սերվեր է ուղարկում սարքի մասին տվյալները, կոնտակտների ցանկը, էլեկտրոնային հասցեները, զանգերի մատյանի տվյալները եւ SMS-հաղորդագրությունները։ Նշված ընտանիքի որոշ տրոյացիներ սարքերի հիշողության մեջ փնտրել են .jpg, .jpeg, .log, .png, .txt, .pdf, .xml, .doc, .xls, .xlsx, .ppt, .pptx, .docx եւ .opus ընդլայնումներով ֆայլեր եւ դրանք ուղարկել կառավարող-հսկիչ սերվերներ։

Որպեսզի ընկերությունները չտուժեն լրտեսական ԾԱ-ի գրոհներից, փորձագետները խորհուրդ են տալիս SOC-կենտրոնի (Security Operations Center) աշխատակիցներին հասանելի դարձնել սպառնալիքների մասին ամենաթարմ տվյալները; վերջնական սարքերի պաշտպանության, ժամանակին հետաքննության եւ միջադեպերի արձագանքման համար ներդնել EDR-լուծում (Endpoint Detection and Response); կորպորատիվ սարքերը, այդ թվում՝ Android-ի կառավարման ներքո աշխատող, վնասակար ծրագրերից պաշտպանելու համար կիրառել բջջային սարքերի հավելվածների վերահսկման գործառույթով հատուկ լուծում:

Դա թույլ կտա վստահ լինել, որ գաղտնի տեղեկատվությանը հասանելիություն ունեցող սարքերում տեղադրվում են միայն վստահելի հավելվածներ՝ հաստատված ցանկից։