VenomRAT-Erkennung: Ein Neuer Mehrstufiger Angriff Mithilfe von ScrubCrypt zur Bereitstellung der Endnutzlast mit Schadsoftware-Plugins

Cybersicherheitsforscher haben einen neuartigen, ausgeklügelten mehrstufigen Angriff enthüllt, bei dem Gegner das ScrubCrypt-Antimalware-Ausweichtool ausnutzen, um VenomRAT zusammen mit mehreren schädlichen Plugins abzulegen, darunter bösartige Remcos, XWorm, NanoCore RAT, und andere bösartige Stämme.

Erkennung von VenomRAT über ScrubCrypt bereitgestellt 

Mit der Zunahme von Cyberangriffen und der zunehmenden Verwendung immer ausgeklügelterer Einbruchsmethoden benötigen Cyberverteidiger fortschrittliche Lösungen, um ihre Cyberverteidigungsfähigkeiten im großen Maßstab zu stärken. Die SOC Prime Plattform für kollektive Cyberabwehr bietet Spitzentechnologie für Bedrohungserkennung und -jagd und ist das größte Verzeichnis verhaltensbasierter Erkennungen gegen die neuesten TTPs weltweit. 

Um bösartige Aktivitäten im Zusammenhang mit der neuesten ScrubCrypt-Kampagne zu erkennen, könnten Sicherheitsexperten auf einen kuratierten Erkennungsstapel in der SOC Prime Plattform zurückgreifen. Klicken Sie einfach auf den Button Explore Detection unten und gehen Sie sofort zur relevanten Sigma-Regelliste, die mit 28 SIEM-, EDR- und Data-Lake-Technologien kompatibel ist. Alle Erkennungen sind an den MITRE ATT&CK Framework v14.1 angelehnt und mit maßgeschneiderter Bedrohungsintelligenz angereichert.

Erkennungen erkunden

Darüber hinaus könnten Cybersicherheitsexperten eine Reihe von Erkennungsinhalten zu VenomRAT-Angriffen erkunden, indem sie im Threat Detection Marketplace nach dem Tag ¨VenomRAT¨ suchen oder diesen Link.

VenomRAT-Verbreitung über ScrubCrypt-Angriffsanalyse

Am 8. April 2024 haben Forscher von FortiGuard Labs einen Bericht veröffentlicht, der eine neue fortschrittliche Offensivkampagne beleuchtet, die über einen Phishing-Angriffsvektor gestartet wurde. Hacker setzen das ScrubCrypt-Framework ein, um eine VenomRAT-Nutzlast zusammen mit einer Reihe anderer schädlicher Plugins zu verteilen, die zahlreiche Schichten von Verschleierungs- und Ausweichtechniken verwenden.

Die Infektionskette wird durch Phishing-E-Mails mit schädlichen SVG-Dateien ausgelöst. Das Klicken auf einen Anhang in der E-Mail führt zum Download eines ZIP-Archivs mit einer Batch-Datei, die mit dem BatCloak-Dienstprogramm verschleiert ist, das Angreifer seit langem zur Ausweichekennung verwenden. Weiterhin wenden Hacker ScrubCrypt an, um VenomRAT und weitere schädliche Plugins auf den kompromittierten Systemen zu verbreiten, während sie gleichzeitig eine Verbindung zum C2-Server herstellen. 

Die anfängliche Nutzlast über ScrubCrypt erfüllt zwei Hauptziele: Aufbau von Persistenz und Laden der angezielten Malware. VenomRAT, eine modifizierte Iteration eines bösartigen Quasar RAT, wurde seit 2020 in der Bedrohungslandschaft entdeckt. Gegner nutzen es, um unrechtmäßig auf die betroffenen Systeme zuzugreifen und diese zu kontrollieren. Ähnlich wie andere RATs ermöglicht VenomRAT Angreifern, kompromittierte Geräte aus der Ferne zu manipulieren und verschiedene bösartige Aktivitäten ohne das Wissen oder die Genehmigung des Opfers zu erleichtern.

Zusätzlich zu VenomRAT verbreiten Hacker NanoCore RAT über betroffene Instanzen mithilfe einer verschleierten VBS-Datei. Sie lassen auch XWorm RAT fallen, eine Malware, die in der Lage ist, sensible Daten zu stehlen oder Fernzugriff zu ermöglichen. Das vierte Plugin, das in dieser Offensivkampagne angewendet wird, ist der berüchtigte  Remcos RAT, der aktiv in Phishing-Kampagnen gegen die Ukraine eingesetzt wird. Ein weiteres Plugin aus dem Werkzeugkasten des Gegners ist ein Stealer, der nicht nur über das oben erwähnte verschleierte VBS-Skript verteilt wird, sondern auch in eine .NET-Executable-Datei integriert ist, die mit SmartAssembly verschleiert wird. Dieses Plugin enthält ein fest codiertes Array, das die bösartige DLL-Datei darstellt, die dazu bestimmt ist, die sensiblen Daten des Benutzers zu stehlen. Letztere überwacht kontinuierlich das System des Benutzers und hat ein Auge auf bestimmte Kryptogeldbörsen.

Das Auftreten ähnlicher ausgeklügelter Cyberangriffe, bei denen Gegner die Fähigkeit zeigen, Persistenz aufrechtzuerhalten, eine Ausweicherkennung zu ermöglichen und vielfältige Nutzlasten bereitzustellen, unterstreicht den kritischen Bedarf an robusten cyberabwehrenden Maßnahmen, um das Risiko von Eindringlingen zu minimieren. Durch die Nutzung von SOC Prime’s Attack Detective, können Organisationen die Cyberabwehr mithilfe automatisierter Validierung von Erkennungsstapeln verbessern, um Angriffe abzuwehren, bevor sie zuschlagen.