Moonrise RAT
A Moonrise egy Windows-platformon kihasználó RAT kampányt ismertet, amely a klasszikus backdoor jellegű trójai malware továbbfejlesztett változata, nem önmagát terjeszti, mint egy worm, hanem távoli vezérlést biztosít az áldozat rendszerében egy külső támadó számára egy aktív C2-kapcsolaton keresztül, miközben élő parancs-küldést és adatgyűjtést tesz lehetővé.
A Moonrise kódja Golang nyelven íródott, ami az antivírus-ellenőrzések számára is megnehezíti a statikus észlelést. A malware WebSocket alapú vezérlési csatornát használ, JSON-formátumú parancs-sémával, így a vezérlő szerverrel való kommunikáció dinamikus és rugalmas lehet. A telemetria alapján a Moonrise nemcsak sima parancs-végrehajtást végez, hanem élő megfigyelési funkciókat is, amit jelszavak vagy kriptográfiai adatok eltulajdonítására lehet kihasználni.
Technikailag a RAT tartósan kapcsolatot tart fenn a C2 szerverrel, folyamatosan fogad parancsokat és visszaküldi az eredményeket, így az operátor valós időben irányíthatja az érintett rendszert. Ez a viselkedés azt is lehetővé teszi számára, hogy érzékeny adatok kinyerése, tetszőleges kód futtatása vagy további rosszindulatú komponensek letöltése és telepítése formájában tovább növelje a kompromittálás súlyosságát. Általában az ilyen RAT-ok azonosított hitelesítő adatok, session tokenek és más bizalmas információk megszerzésére is képesek.
Elemzések szerint a Moonrise különösen low-detection eszköz, azaz a hagyományos antivírus-megoldások rendszerint nem ismerik fel mivel a Rust- vagy C++ helyett Golang-alapú binárisai kevésbé vannak még mintázat-alapúan definiálva a vírusadatbázisokban. Ez növeli a kockázatot, mert a behatolás dwell time időszaka hosszabb lehet, mielőtt a fertőzést észlelik.
