Warzone-RAT-Malware, die von Confucius APT in gezielten Angriffen verwendet wird
Inhaltsverzeichnis:
Sicherheitsforscher haben eine laufende Kampagne der Confucius APT entdeckt, die die Warzone RAT-Malware nutzt, um ihre Ziele zu kompromittieren. Die Kampagne richtet sich vermutlich gegen den Regierungssektor Chinas und anderer Länder in Südasien.
Beschreibung von Warzone RAT
Warzone Remote Access Trojan (RAT), ein produktiver Nachfolger des AveMaria-Stealers, tauchte erstmals 2018 als Malware-as-a-Service (MaaS) auf. Im Jahr 2020 wurde Warzone von seinen Betreibern erheblich weiterentwickelt, um die Wettbewerbsfähigkeit in der bösartigen Arena zu erhöhen. Der Trojaner wird derzeit für $23-$50 verkauft, je nach Mietdauer, die von einem bis drei Monate variieren kann. Außerdem bietet Warzone mehrere kostenpflichtige Optionen an, darunter ein RAT-Gift, einen Crypter und stille Exploits für .DOC und Excel. Des Weiteren, eine geknackte Version des Trojaners wurde auf GitHub hochgeladen, was die Verbreitung der Malware in der Cyberkriminalitäts-Community erweitert.
Was ist also Warzone RAT-Malware? Warzone ist ein vollwertiger Remote Access Trojaner, geschrieben in der C++ Sprache und mit den meisten Windows-Versionen kompatibel. Laut der Forscher Analyse, kann der Trojaner die volle Fernsteuerung des Ziel-PCs ermöglichen. Die Liste der Fähigkeiten umfasst das automatische Entwenden von Passwörtern von den wichtigsten Browsern und E-Mail-Clients (Chrome, Firefox, Opera, Internet Explorer, Thunderbird, Foxmail, Outlook und mehr). Außerdem kann die Malware Dateien auf das kompromittierte Gerät herunterladen und ausführen, Keylogging und Befehlsausführung durchführen, das Webcam-Modul verbinden, Reverse Proxy aktivieren und Remote-Shell ermöglichen.
Es ist erwähnenswert, dass Warzone RAT erfolgreich darin ist, die Erkennung zu umgehen und seine Berechtigungen auf der kompromittierten Maschine zu erhöhen. Die Malware beinhaltet eine Umgehung der Benutzerkonto-Steuerung (UAC) , die in der Lage ist, die Standardbeschränkungen des Dateisystems in Windows 10 zu überwinden. Dies geschieht durch den Missbrauch der sdclt.exe-Funktion innerhalb der Backup- und Wiederherstellungsfunktionalität des Systems. Für frühere Windows-Versionen wendet die Malware eine spezielle UAC-Umgehung an, die in ihrer Konfiguration enthalten ist.
Angriffsübersicht
Die Forscher von Uptycs haben die Angriffskette von Warzone analysiert, die in der neuesten Confucius APT-Kampagne genutzt wird. Der Einbruch beginnt mit einem Lockdokument namens „China Cruise Missiles Capabilities-Implications for the Indian Army.docx“. Ein solcher Köder könnte die Aufmerksamkeit von Mitarbeitern der angestrebten Regierungsabteilungen erregen, da er die aktuellen Grenzspannungen zwischen Indien und China beschreibt. Falls ein Benutzer dazu verleitet wurde, das Dokument zu öffnen, lädt es via Template Injection den Exploit der nächsten Stufe im RTF-Format herunter. Der Exploit wiederum bringt die endgültige Warzone RAT-Payload über eine eingebettete DLL ein. Warzone’s attack kill chain leveraged in the latest Confucius APT campaign. The intrusion starts from a decoy document named “China Cruise Missiles Capabilities-Implications for the Indian Army.docx.” Such a lure might grab the attention of employees within the targeted government departments since it describes the current border tensions between India and China. In case a user was convinced to open the document, it downloads the next-stage RTF exploit via template injection. The exploit, in turn, drops the final Warzone RAT payload via embedded DLL.
Die DLL-Analyse erlaubte es den Forschern, drei weitere Lockdokumente zu identifizieren, die wahrscheinlich auf andere Ziele im öffentlichen Sektor in der Region abzielen. Die Köder beziehen sich auf die militärischen Aktivitäten Chinas in der Taiwanstraße, Entscheidungen von Joe Biden in Bezug auf Nuklearwaffenfragen und eine Bewerbung für die Pakistan Space & Upper Atmosphere Research Commission (SUPARCO). Die Köder wurden seit Oktober 2020 verteilt, was darauf hinweist, dass die Kampagne mindestens mehrere Monate dauert.
Erkennung der Warzone RAT-Malware
Um die bösartige Aktivität von Warzone RAT zu erkennen, können Sie eine neue Sigma-Regel herunterladen, die von unserem Threat Bounty-Entwickler Osman Demir veröffentlicht wurde:
https://tdm.socprime.com/tdm/info/i17zSMtfKc76/-oy79nYBmo5uvpkjsFUZ/
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
MITRE ATT&CK:
Taktiken: Ausführung, Persistenz
Techniken: Befehlszeilenschnittstelle (T1059), Registrierungsschlüssel/Startordner (T1060)
Falls Sie keinen kostenpflichtigen Zugang zum Threat Detection Marketplace haben, können Sie Ihre kostenlose Testphase unter einem Community-Abonnement aktivieren, um die Sigma-Regel im Zusammenhang mit dem Warzone Remote Access Trojan freizuschalten.
Um mehr relevante SOC-Inhalte zu erreichen, die auf unserer Plattform kostenlos verfügbar sind, abonnieren Sie den Threat Detection Marketplace. Wir haben 81.000+ Erkennungsinhalte, die mit der Mehrheit der SIEM-, EDR-, NTDR- und SOAR-Plattformen kompatibel sind. Möchten Sie inspiriert werden, Ihre eigenen Sigma-Regeln zu erstellen und zu den Bedrohungsjagd-Initiativen beizutragen? Treten Sie unserem Threat Bounty Programm bei für eine sichere Zukunft!
