Neues FatalRAT-Modell: Purple Fox-Hacker erweitern ihre Botnet-Infrastruktur

[post-views]
März 31, 2022 · 4 min zu lesen
Neues FatalRAT-Modell: Purple Fox-Hacker erweitern ihre Botnet-Infrastruktur

Purple Fox Malware verursacht seit 2018 auf persönlichen Computern vielfältige Schäden und hat weltweit über 30.000 Geräte infiziert. Die neuesten Studien haben herausgefunden, dass die Purple Fox-Hacker ihre Infrastruktur weiterhin verbessern und neue Hintertüren hinzufügen.

Um die Skala des Botnets zu erweitern, verbreitet Purple Fox trojanisierte Installer, die als legitime Softwarepakete getarnt sind. Bemerkenswert ist, dass die Angreifer einen neuen Ankunftsvektor entwickelt haben, der auf Early-Access-Loadern basiert.

Die aufgerüstete Malware FatalRAT ist eine neue Variante eines Remote-Access-Trojans mit einem signierten Rootkit-Arsenal zur Umgehung von Antivirus-Programmen.

FatalRAT-Erkennung

Unsere neueste Sigma-basierte Erkennung von Nattatorn Chuensangarun erkennt das von den Betreibern von Purple Fox Malware umgestaltete FatalRat-Verhalten, um Sicherheitssoftware zu umgehen.

Mögliches FatalRAT-Verhalten Umgehung durch Sicherheitssoftware (via process_creation)

Die Regel stimmt mit dem neuesten MITRE ATT&CK®-Rahmen v.10 überein, der sich mit den Techniken der Prozessermittlung (T1057), dem Befehls- und Skriptinterpreter (T1059) und der Prozessinjektion (T1055) befasst.

Eine weitere Sigma-Regel, erstellt von unserem produktiven Threat Bounty Entwickler Emir Erdogan erkennt das Registry-Verhalten von FatalRat.

Mögliches FatalRAT-Verhalten (via reg.exe)

Die Regel befasst sich mit den MITRE ATT&CK®-Techniken Registry ändern (T1112) und Verschleierte Dateien oder Informationen (T1027).

Sie können sofort auf eine Liste aller derzeit verfügbaren Erkennungsinhalte zugreifen, um mögliche Angriffe einer neuen Variante von FatalRAT zu erkennen, indem Sie auf Erkennungen anzeigen klicken und sich in Ihr SOC Prime-Plattform Konto einloggen. Und wenn Sie ein Sicherheitsforscher oder Ingenieur sind, können Sie Ihr Fachwissen teilen, indem Sie zu unserem Threat Bounty-Programm beitragen.

Erkennungen anzeigen Threat Bounty beitreten

FatalRAT-Analyse

Die Erststufenloader von FatalRAT sind in Softwarepaketen versteckt, die den Loadern von Anwendungen wie Telegram, Chrome, Adobe und WhatsApp ähneln. Ein Zeichen am Ende des Namens einer ausführbaren Datei entspricht einer spezifischen Nutzlast. Eine Anfrage für die Nutzlast der zweiten Stufe kommt von diesem einzelnen Zeichen und wird vom ersten EXE an einen C&C-Server gesendet.

Ähnlich wie bei ihren früheren Kampagnen verwendet Purple Fox HTTP-Dateiserver (HFS), um C&C-Server zu betreiben und Dateien für die infizierten Maschinen zu hosten, die als ihre Bots fungieren. Einer der exponierten HFS-Server wurde von Forschern analysiert und zeigte eine hohe Frequenz von Softwarepaket-Updates. Ungefähr alle neun Tage werden etwa 25 Pakete aktualisiert. Diese Prozess läuft zum Ende März 2022 noch.

FatalRAT ist ein C++-basiertes Implantat, das umfangreiche Remote-Access-Funktionalitäten für Angreifer bietet. Es kann zusätzliche Module unterschiedlicher Art herunterladen und ausführen, abhängig von den Ergebnissen der Überprüfung des infizierten Systems und den spezifischen Zielen des Botnets. Die Ausführung von FatalRAT wird angepasst, wenn die Malware Registrierungsschlüssel oder Antivirus-Agenten findet.

Die Umgehung von Antivirus-Programmen umfasst auch die Verwendung von portablen ausführbaren Modulen (PE) mit einer Vielzahl von Fähigkeiten. Beispielsweise haben die neuesten Cluster von FatalRAT Verbindungen zu älteren Malware-Familien wie einem zuvor dokumentierten Purple Fox MSI-Installer. Darüber hinaus zeigt es eine Vielzahl von Rootkit-Fähigkeiten in zusätzlichen PE-Modulen, die Fähigkeit, eine Reihe von System-API-Adressen zu analysieren und verschiedene System-APIs aus früheren Nutzlasten zu lösen.

Die jüngste Aktivität von Purple Fox könnte aufgrund der erweiterten Funktionalität von FatalRAT besondere Aufmerksamkeit von SOC-Teams erfordern. Sein maßgeschneiderter Shellcode-Loader im Benutzermodus verlässt sich nicht auf den nativen Loader und minimiert die forensischen Beweise, die er nach der Ausführung hinterlässt. Und aufgrund der geringen Beweise wird es besonders herausfordernd, die laufenden Aktivitäten von FatalRAT zu verfolgen. Darüber hinaus missbraucht die Malware legitime Code-Signing-Zertifikate und ungeschützte Windows-Kernel-Treiber. Nutzen Sie die Vorteile der Detection as Code-Plattform von SOC Prime um sicherzustellen, dass Ihr SOC-Team die aktuellsten Erkennungsinhalte in kürzester Zeit implementieren kann.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Zugriff auf die Uncoder AI-Funktionalität über die API 2 min zu lesen SOC Prime Plattform Zugriff auf die Uncoder AI-Funktionalität über die API by Steven Edwards Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen 2 min zu lesen SOC Prime Plattform Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen by Steven Edwards Übersetzung von Sigma in 48 Sprachen 2 min zu lesen SOC Prime Plattform Übersetzung von Sigma in 48 Sprachen by Steven Edwards
Alle Nachrichten