Šta se desilo?

Kompanija Cisco Talos objavila je analizu napredne ruske kriminalističke grupacije UAT-11795, koja od juna 2025. godine sprovodi sofisticirane napade sa ciljem krađe kredencijala i kriptovaluta korisnika u Sjedinjenim Američkim Državama i Evropi. Napadači koriste novi Python-baziran malver nazvan Starland RAT kao i bespokeni PowerShell C2 implant poznat kao WLDR agent, koji omogućava kontrolu kompromitovanih mašina i dostavu dodatnih štetnog softvera.

Koga pogađa?

Prema analizi, najveći broj napada registruje se u Sjedinjenim Američkim Državama, sa manjim brojem incidenata zabeleženih u Nemačkoj, Rumuniji i Venecueli. Napadači koriste trojanizovane instalere popularne aplikacije uključujući MobaXterm, WebEx, Zoom, DBeaver i FACEIT, što ukazuje da se napadi usmravaju na raznovrsne grupe korisnika - od IT administratora preko softverskih inženjera do običnih korisnika. Riziku su izloženi svi oni koji preuzimaju instalere ovih aplikacija iz potencijalno nebezbednih izvora.

Kako se zaštititi?

  • Preuzimajte softver isključivo sa zvaničnih veb-stranica proizvođača ili proverenih distributivnih kanala
  • Proverite digitalne potpise i heš vrednosti pre instalacije kritičnog softvera
  • Koristite antivirusne i antimalver alate sa mogućnošću detekcije RAT-a i C2 komunikacije
  • Redovno ažurirajte sve instalacije softvera na najnovije sigurne verzije
  • Kreirajte složene lozinke za pristup važnim servisima i koristite dvofaktorsku autentifikaciju
  • Čuvajte privatne ključeve za kriptovalutne novčanike u izolovanju od interneta
  • Monitoring mrežnog prometa na znakove sumnjive C2 komunikacije

Tehnički detalji

Starland RAT je Python-baziran malver koji omogućava direktan pristup kompromitovanoj mašini. WLDR agent predstavlja sofisticirani PowerShell memory implant sa šifrovanom C2 komunikacijom, mogućnošću queuing-a aktivnosti i Runspace execution engine-om koji omogućava izvršavanje dodatnih payload-a. Napadači imaju u svom arsenalu i alternative kao što su CastleStealer i Remcos RAT. Infrastruktura napada koristi više C2 domena koji se mogu identifikovati kroz pasivnu DNS rezoluciju. Vektori napada uključuju prevaru kroz distribuirane trojanizovane instalere i socijalni inženjering.

Preporuka Sajber Radara

Sve organizacije i privatni korisnici trebaju da budu svesni ove kampanje i da primene dodatne mere opreza pri preuzimanju softvera. Preporučujemo da IT timovi pojačaju monitoring i implementiraju endpoint detection and response (EDR) alate koji mogu detektovati RAT aktivnost i C2 komunikaciju na mrežnom nivou.