Οι χειριστές του njRAT Remote Access Trojan (RAT) αξιοποιούν τα tunnels Pastebin C2 για να αποφύγουν τον έλεγχο από τους ερευνητές της κυβερνοασφάλειας.
Την Τετάρτη, η ομάδα cybersecurity του Unit 42 του Palo Alto Networks δήλωσε ότι το njRAT, επίσης γνωστό ως Bladabindi, χρησιμοποιείται για τη λήψη και την εκτέλεση payload δευτερεύουσας φάσης από το Pastebin, καταργώντας εντελώς την ανάγκη δημιουργίας ενός παραδοσιακού command-and-control (C2) server.
Από τον Οκτώβριο τουλάχιστον, οι επιτιθέμενοι έχουν χρησιμοποιήσει την πλατφόρμα Pastebin ως host για payloads που διαφέρουν σε μορφή και σχήμα.
Η ομάδα αναφέρει ότι οι παραλλαγές του njRAT θα απαιτήσουν συντομευμένες διευθύνσεις URL που συνδέονται με το Ρastebin σε μια προσπάθεια να «αποφύγουν την ανίχνευση από τα προϊόντα ασφαλείας και να αυξήσουν την πιθανότητα η λειτουργία να περάσει απαρατήρητη».
Το njRAT είναι ένα ευρέως χρησιμοποιούμενο Trojan που είναι σε θέση να παραβιάζει τις λειτουργίες ενός παραβιασμένου μηχανήματος από απόσταση, συμπεριλαμβανομένης της λήψης screenshot, του data exfiltrating και άλλων πολλών διαδικασιών. Επιπλέον, το RAT είναι σε θέση να εκτελεί δευτερεύοντα payloads και να συνδέει μολυσμένους υπολογιστές σε botnets.
Το “Pastebin C2 tunnel” που χρησιμοποιείται τώρα, όπως περιγράφεται από τους ερευνητές, δημιουργεί ένα μονοπάτι μεταξύ των μολύνσεων njRAT και των νέων payload. Το Trojan ενεργώντας ως πρόγραμμα λήψης, θα “κλέψει” κωδικοποιημένα δεδομένα που έχουν «πεταχτεί» στο Pastebin.
Σε κάποια δείγματα που είδε η ομάδα, ένα payload αποκωδικοποιήθηκε ως εκτελέσιμο .NET το οποίο κάνει κατάχρηση των λειτουργιών API των Windows για keylogging και κλοπή δεδομένων. Άλλα δείγματα, παρόμοια σε λειτουργία, απαιτούσαν πολλαπλά επίπεδα αποκωδικοποίησης για να αποκαλυφθεί το τελικό payload.
Η Palo Alto λέει ότι η αρχιτεκτονική εντολών που βασίζεται στο Pastebin είναι ακόμα ενεργή και χρησιμοποιείται από το RAT για την παράδοση δευτερογενών payload.
Πηγή: zdnet.com
 αξιοποιούν τα tunnels Pastebin C2 για να αποφύγουν τον έλεγχο από τους ερευνητές της){kind=link}