ИБ-исследователи из компании RSA обнаружили новый троян удаленного доступа, который получил название GlassRAT. Согласно данным экспертов, вредонос оставался незамеченным в течение трех лет. Злоумышленники использовали GlassRAT в кампании, направленной на коммерческие организации и граждан КНР.
По словам исследователей, вирусописатели проделали довольно трудную работу. “Троян использует скомпрометированный сертификат безопасности, выданный проверенным и известным поставщиком. Вредонос удаляет себя после успешной реализации полезной нагрузки. После установки вредоносный файл DLL сохраняется вне зоне доступа антивирусных программ”, – отметили эксперты.
Исследователи также отмечают, что С&C-структура, которую использует GlassRAT схожа на ту, что применялась во вредоносной кампании в 2012 г., направленной на правительственные и военные организации, расположенные в Тихоокеанском регионе.
GlassRAT связан с С&C-структурой вредоносного ПО Mirage, которая, в свою очередь, имеет отношение к вредоносам Magicfire, PlugX и Mirage. Последние использовались в атаках на военные организации на Филиппинах и правительство Монголии. Однако, по словам экспертов, недавно обнаруженная вредоносная кампания отличатся от той, которая проводилась в 2012 году. Разница состоит в продолжительности операции хакеров, а также в целях атак. Возможно и то, что организаторы кампаний одни и те же, просто занимаются ими разные подразделения. (RSA/NovostIT)