Forskere har koblet en nyoppdaget skadevare kalt Atlas RAT til cyberspionasjeangrep som retter seg mot organisasjoner over hele Europa.
Kampanjen ser ut til å involvere kinesiske trusselaktører som bruker fjernstyringstrojaneren til å etablere fotfeste i offernes nettverk og opprettholde langsiktig tilgang til kompromitterte systemer. Etterforskere mener aktiviteten i hovedsak er knyttet til etterretningsinnsamling snarere enn økonomisk motivert cyberkriminalitet.
Oppdagelsen viser hvordan statssponsede grupper fortsetter å utvikle og ta i bruk ny skadevare for å støtte spionasjeoperasjoner.
Forskere avdekker nytt spionasjeverktøy
Sikkerhetsforskere identifiserte Atlas RAT mens de undersøkte en rekke angrep mot europeiske organisasjoner.
Skadevaren gir angripere ekstern tilgang til infiserte systemer og lar dem kjøre kommandoer, samle inn informasjon og laste ned ytterligere skadevare. Forskerne mener verktøyet er spesielt utviklet for skjulte operasjoner der angriperne ønsker å forbli aktive i et nettverk over lengre tid.
I motsetning til bredt distribuert standardmalware ser Atlas RAT ut til å inngå i målrettede kampanjer mot utvalgte organisasjoner.
Denne graden av målretting peker ofte mot spionasjeformål fremfor storskala cyberkriminalitet.
Kampanjen retter seg mot europeiske organisasjoner
Forskerne observerte skadevaren i angrep mot organisasjoner i flere europeiske land.
Selv om etterforskerne ikke har offentliggjort alle ofrene, skal kampanjen ha fokusert på sektorer som ofte tiltrekker seg interesse fra statsstøttede trusselaktører. Offentlige institusjoner, teknologiselskaper, forskningsorganisasjoner og operatører av kritisk infrastruktur dukker ofte opp i spionasjesaker fordi de besitter verdifull politisk, økonomisk og strategisk informasjon.
Angriperne ser ut til å prioritere etterretningsinnsamling og langsiktig tilgang fremfor umiddelbar forstyrrelse av virksomheten.
Atlas RAT støtter vedvarende tilgang
Atlas RAT gir angripere funksjonaliteten de trenger for å opprettholde tilstedeværelse i kompromitterte miljøer.
Forskerne opplyser at skadevaren kan kjøre kommandoer, samle systeminformasjon, kommunisere med kommando- og kontrollservere og motta ytterligere instruksjoner fra operatørene. Disse egenskapene gjør det mulig for trusselaktørene å utvide tilgangen og fortsette informasjonsinnsamlingen etter det første innbruddet.
Ved å opprettholde vedvarende tilgang kan angriperne overvåke nettverkene i det skjulte og hente ut informasjon over tid.
Denne fremgangsmåten er fortsatt vanlig blant avanserte spionasjegrupper som er ute etter verdifull etterretning.
Kinesisk cyberspionasje fortsetter å utvikle seg
Kampanjen viser hvordan kinesiske cyberspionasjeoperasjoner fortsetter å utvikle seg gjennom nye skadevarefamilier og angrepsteknikker.
Sikkerhetsforskere følger jevnlig nye verktøy som er utviklet for å unngå oppdagelse og gi operatørene større fleksibilitet. Atlas RAT passer inn i dette mønsteret ved å gi angriperne enda et verktøy for målrettede inntrengninger mot organisasjoner av interesse.
Fremveksten av ny skadevare skaper samtidig ekstra utfordringer for forsvarere fordi sikkerhetsprodukter ikke nødvendigvis gjenkjenner tidligere ukjente trusler umiddelbart.
Konklusjon
Atlas RAT-kampanjen viser at cyberspionasjegrupper fortsetter å investere i ny skadevare utviklet for langsiktig etterretningsinnsamling. Forskere har koblet fjernstyringstrojaneren til angrep mot organisasjoner over hele Europa og mener kinesiske trusselaktører står bak aktiviteten. Oppdagelsen legger enda et verktøy til arsenalet av skadevare som brukes i statssponsede cyberoperasjoner, og understreker behovet for sterk overvåking og avanserte kapasiteter for trusseldeteksjon.
0 responses to “Atlas RAT brukes i kinesiske cyberangrep mot mål i Europa”