Ruska grupacija UAT-11795 koristi novi Starland RAT i WLDR C2 implant u napadima na SAD i Evropu
Ruska grupacija UAT-11795 koristi nove malvere Starland RAT i WLDR agent u napadima na SAD i Evropu ciljajući kriptovalute i kredencijale.
Šta se desilo?
Kompanija Cisco Talos objavila je analizu napredne ruske kriminalističke grupacije UAT-11795, koja od juna 2025. godine sprovodi sofisticirane napade sa ciljem krađe kredencijala i kriptovaluta korisnika u Sjedinjenim Američkim Državama i Evropi. Napadači koriste novi Python-baziran malver nazvan Starland RAT kao i bespokeni PowerShell C2 implant poznat kao WLDR agent, koji omogućava kontrolu kompromitovanih mašina i dostavu dodatnih štetnog softvera.
Koga pogađa?
Prema analizi, najveći broj napada registruje se u Sjedinjenim Američkim Državama, sa manjim brojem incidenata zabeleženih u Nemačkoj, Rumuniji i Venecueli. Napadači koriste trojanizovane instalere popularne aplikacije uključujući MobaXterm, WebEx, Zoom, DBeaver i FACEIT, što ukazuje da se napadi usmravaju na raznovrsne grupe korisnika - od IT administratora preko softverskih inženjera do običnih korisnika. Riziku su izloženi svi oni koji preuzimaju instalere ovih aplikacija iz potencijalno nebezbednih izvora.
Kako se zaštititi?
- Preuzimajte softver isključivo sa zvaničnih veb-stranica proizvođača ili proverenih distributivnih kanala
- Proverite digitalne potpise i heš vrednosti pre instalacije kritičnog softvera
- Koristite antivirusne i antimalver alate sa mogućnošću detekcije RAT-a i C2 komunikacije
- Redovno ažurirajte sve instalacije softvera na najnovije sigurne verzije
- Kreirajte složene lozinke za pristup važnim servisima i koristite dvofaktorsku autentifikaciju
- Čuvajte privatne ključeve za kriptovalutne novčanike u izolovanju od interneta
- Monitoring mrežnog prometa na znakove sumnjive C2 komunikacije
Tehnički detalji
Starland RAT je Python-baziran malver koji omogućava direktan pristup kompromitovanoj mašini. WLDR agent predstavlja sofisticirani PowerShell memory implant sa šifrovanom C2 komunikacijom, mogućnošću queuing-a aktivnosti i Runspace execution engine-om koji omogućava izvršavanje dodatnih payload-a. Napadači imaju u svom arsenalu i alternative kao što su CastleStealer i Remcos RAT. Infrastruktura napada koristi više C2 domena koji se mogu identifikovati kroz pasivnu DNS rezoluciju. Vektori napada uključuju prevaru kroz distribuirane trojanizovane instalere i socijalni inženjering.
Preporuka Sajber Radara
Sve organizacije i privatni korisnici trebaju da budu svesni ove kampanje i da primene dodatne mere opreza pri preuzimanju softvera. Preporučujemo da IT timovi pojačaju monitoring i implementiraju endpoint detection and response (EDR) alate koji mogu detektovati RAT aktivnost i C2 komunikaciju na mrežnom nivou.