Quasar RAT: Erkennung bösartiger Nachfolger
Inhaltsverzeichnis:
Quasar Remote Administration Tool (RAT) ist ein multifunktionales und leichtgewichtiges Schadprogramm, das seit 2014 aktiv von APT-Akteuren verwendet wird. Der Quasar-Code ist öffentlich als Open-Source-Projekt verfügbar, wodurch der Trojaner aufgrund seiner breiten Anpassungsmöglichkeiten bei Gegnern äußerst beliebt ist. Infolgedessen gibt es eine Vielzahl von Exemplaren innerhalb der Quasar-Malware-Familie. Viele von ihnen wurden von staatlich unterstützten Akteuren in ihren bösartigen Kampagnen verwendet. Die letzte berüchtigte Operation, die auf Quasar-Infektionen abzielte, wurde von APT10 gestartet.
Quasar RAT Beschreibung
Quasar ist ein Fernzugriffs-Tool, das ursprünglich als legitimes Windows-Dienstprogramm für Benutzerunterstützung und Mitarbeiterüberwachung entwickelt wurde. Tatsächlich bewirbt der Entwickler Quasar als eine einfach zu benutzende und hoch stabile Fernzugriffslösung für Administratoren, die mit den meisten Windows-Versionen kompatibel ist. Die erste Variante dieses Tools wurde im Juli 2014 veröffentlicht und als „xRAT“ bezeichnet, jedoch wurde es 2015 in Quasar umbenannt, vermutlich um legitime Software von seinen bösartigen Geschwistern zu unterscheiden.
Nachdem das Tool 2015 auf GitHub zum kostenlosen Download verfügbar gemacht wurde, nahmen Bedrohungsakteure diese multifunktionale und anpassbare Lösung ins Visier. Beispielsweise nutzte im Jahr 2017 die Gaza Cybergang-Gruppe Quasar RAT um Regierungen im Nahen Osten ins Visier zu nehmen. Im Jahr 2018 wurde es von Patchwork APT genutzt, um Angriffe auf US-Denkfabriken durchzuführen. Im Jahr 2019 wurde die Malware in einer ausgeklügelten böswilligen Kampagne gegen die ukrainische Regierung und das Militär entdeckt. Schließlich enthüllten Forscher Ende 2020 in a sophisticated malicious campaign against the Ukrainian Government and military. Finally, at the end of 2020, researchers eine langanhaltende Operation von ATP10, die auf führende Unternehmen in Japan abzielte. Bemerkenswerterweise fügte die chinesische, staatlich geförderte APT10-Gruppe (Cicada, Stone Panda) Quasar bereits 2016 in ihr Toolkit ein und verwendete dauerhaft selbst erstellte Versionen, um Daten zu stehlen. a long-lasting operation of ATP10 aimed at industry-leading companies across Japan. Notably, the Chinese state-sponsored APT10 group (Cicada, Stone Panda) added Quasar to its toolkit far back in 2016, permanently using its custom-built versions to steal data.
Die neueste APT10-Kampagne nutzte Quasar RAT, um wichtige Automobil-, Pharma- und Ingenieurszulieferer in Japan anzugreifen. Die Tochtergesellschaften in 17 Regionen weltweit waren ebenfalls angegriffen, wobei die Bedrohung auf Aufklärung abzielte. Bedrohungsakteure verwendeten eine benutzerdefinierte Version der Bedrohung, die sich geringfügig von ihrem Vorgänger unterscheidet. Insbesondere fügten die Gegner die Fähigkeit hinzu, zusätzliche Plugin-Module herunterzuladen, wodurch die Malware leicht an die sich dynamisch verändernden Ziele angepasst werden kann. Auch wurden die Kommunikations- und Verschlüsselungs-Routinen geändert.
Quasar RAT: Angriff-Kill-Chain
Da Quasar RAT von verschiedenen Hackern weit verbreitet ist, von Script-Kiddies bis hin zu APTs, könnten viele seiner angepassten Versionen in der Cyber-Bedrohungsarena gefunden werden. Die Liste der Nachfolger umfasst CinaRAT, QuasarStrike, VenomRAT, VoidRAT, AsyncRAT und mehr. Doch der Großteil der bösartigen Exemplare folgt der gleichen Angriffs-Routine.
Quasar wird typischerweise mit Hilfe von Spam- oder Phishing-E-Mails geliefert, die bösartige Dateien als Anhang haben. Ein solches Vorgehen ist vernünftig, da Quasar keine Exploits für Schwachstellen enthält. Hacker müssen andere Schadprogramme oder Techniken anwenden, um das Ziel zu kompromittieren, bevor sie Quasar einsetzen.
Bei der Ausführung erreicht Quasar RAT Persistenz durch die Verwendung von zwei Methoden: geplante Aufgaben und Registrierungsschlüssel. Außerdem eskaliert der Trojaner seine Berechtigungen, indem er ein Eingabeaufforderungsfenster (cmd.exe) als Administrator startet. Falls die Windows-Benutzerkontensteuerung (UAC) konfiguriert ist, löst die Malware ein UAC-Popup aus, das die Opfer auffordert, die Eingabeaufforderung zu akzeptieren. Schließlich beginnt Quasar RAT mit seinen Datendiebstahlaktivitäten. Der Trojaner hat eine eher breite Funktionalität, die Aufgaben- und Dateiverwaltung, das Herunterladen von Dateien, das Beenden von Verbindungen, das Bereinigen von Prozessen, das Ausführen von Befehlen, das Öffnen von Remote-Desktop-Verbindungen, das Aufnehmen von Screenshots, Webcam-Aufzeichnungen, Keylogging, das Auslesen von Passwörtern und mehr umfasst.
Quasar Erkennung
Um die Erkennung und die proaktive Verteidigung gegen Exemplare der Quasar-Malware-Familie zu verbessern, hat unser Threat-Bounty-Entwickler Osman Demir eine spezielle Sigma-Regel veröffentlicht:
https://tdm.socprime.com/tdm/info/WWXWHb1OJ3yt/Eb9NTncBR-lx4sDxFU7L/#rule-context
Die Regel hat eine Übersetzung auf die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Taktiken: Ausführung, Persistenz, Privilegieneskalation
Techniken: Geplante Aufgabe (T1053)
Erhalten Sie ein Abonnement für den Threat Detection Marketplace, um die Erkennungszeit von Cyberangriffen mit unserer SOC-Inhaltsbibliothek von über 90.000 Inhalten zu verkürzen. Die Inhaltsbasis wird täglich um die Erkennung der alarmierendsten Cyberbedrohungen in den frühesten Phasen des Angriffs-Lebenszyklus bereichert. Möchten Sie Ihre eigenen kuratierten Inhalte erstellen? Treten Sie unserer Threat-Bounty Community für eine sicherere Zukunft bei!
