Nuevo Modelo FatalRAT: Hackers de Purple Fox Están Aumentando su Infraestructura de Botnet
Tabla de contenidos:
Malware Purple Fox ha estado causando todo tipo de estragos en computadoras personales desde 2018, infectando más de 30,000 máquinas a nivel global. Los últimos estudios descubrieron que los hackers de Purple Fox continúan mejorando su infraestructura y añadiendo nuevas puertas traseras.
Para expandir la escala del botnet, Purple Fox está propagando instaladores troyanizados que se hacen pasar por paquetes de software legítimos. El factor inquietante es que los atacantes han desarrollado un nuevo vector de llegada impulsado por cargadores de acceso temprano.
El malware mejorado FatalRAT es una nueva variante de un troyano de acceso remoto con un arsenal de rootkits firmados para evadir antivirus.
Detección de FatalRAT
Nuestra más reciente detección basada en Sigmapor Nattatorn Chuensangarun detecta comportamientos de FatalRat reestructurados por los operadores del malware Purple Fox para eludir el software de seguridad.
La regla está alineada con el último marco de MITRE ATT&CK® v.10, abordando las técnicas de Descubrimiento de Procesos (T1057), Intérprete de Comandos y Scripts (T1059) e Inyección de Procesos (T1055).
Otra regla Sigma creada por nuestro prolífico desarrollador de Threat Bounty detecta comportamientos en el registro de FatalRat. detecta comportamientos en el registro de FatalRat. Posible Comportamiento de FatalRAT (vía reg.exe)
Puede acceder inmediatamente a una lista de todo el contenido de detección actualmente disponible para detectar posibles ataques de una
nueva variante de FatalRAT haciendo clic en Ver Detecciones e iniciando sesión en su plataforma SOC Prime cuenta. Y si es un investigador de seguridad o un ingeniero, puede compartir su experiencia contribuyendo a nuestro programa Threat Bounty. Ver Detecciones
Unirse a Threat Bounty Análisis de FatalRAT
Los cargadores de primera etapa de FatalRAT están ocultos dentro de paquetes de software que se asemejan a cargadores de aplicaciones como Telegram, Chrome, Adobe y WhatsApp. Un carácter al final del nombre de un archivo ejecutable corresponde con una carga útil específica. Una solicitud para la carga útil de segunda etapa viene de este único carácter y es enviada por el primer EXE a un servidor C&C.
Similar a sus campañas anteriores,
utiliza servidores de archivos HTTP (HFS) para operar servidores C&C, hospedando archivos para las máquinas infectadas que funcionan como sus bots. Uno de los servidores HFS expuestos fue analizado por investigadores y mostró una alta frecuencia de actualización de paquetes de software. Aproximadamente cada nueve días se actualizan alrededor de 25 paquetes. Hasta finales de marzo de 2022, este proceso sigue en marcha. utiliza servidores de archivos HTTP (HFS) para operar servidores C&C, hospedando archivos para las máquinas infectadas que funcionan como sus bots. Uno de los servidores HFS expuestos fue analizado por investigadores y mostró una alta frecuencia de actualización de paquetes de software. Aproximadamente cada nueve días se actualizan alrededor de 25 paquetes. Hasta finales de marzo de 2022, este proceso sigue en marcha. FatalRAT es un implante basado en C++ que ofrece una amplia funcionalidad de acceso remoto para los atacantes. Puede descargar y ejecutar módulos adicionales de diferentes tipos, dependiendo de los resultados del escaneo del sistema infectado y de objetivos específicos del botnet. La ejecución de FatalRAT se ajusta si el malware encuentra claves de registro o agentes antivirus.
La evasión de antivirus también incluye el uso de módulos ejecutables portátiles (PE) con un amplio rango de capacidades. Por ejemplo, uno de los últimos clusters de FatalRAT tiene vínculos con familias de malware más antiguas, como un instalador MSI de Purple Fox previamente documentado. Más allá de eso, muestra una variedad de capacidades de rootkit en módulos PE adicionales, la capacidad de analizar varias direcciones de APIs del sistema y resolver diferentes APIs del sistema de cargas útiles anteriores.
La última actividad de Purple Fox podría requerir especial atención de los equipos SOC debido a la funcionalidad extendida de FatalRAT. Su cargador de shellcode en modo de usuario personalizado no depende del cargador nativo mientras minimiza la evidencia forense que deja después de la ejecución. Y debido a la poca evidencia, se vuelve especialmente desafiante rastrear la actividad en curso de FatalRAT. Además, el malware abusa de certificados de firma de código legítimos y controladores del kernel de Windows no protegidos. Aproveche los beneficios de
la plataforma Detection as Code de SOC Prime para asegurar que su equipo SOC pueda implementar el contenido de detección más reciente en el menor tiempo posible. to ensure that your SOC team can implement the most recent detection content within the shortest timeframe.
