Detección de NonEuclid RAT: Malware Permite a los Adversarios Obtener Acceso Remoto No Autorizado y Controlar un Sistema Objetivo
Tabla de contenidos:
El panorama de amenazas cibernéticas moderno se caracteriza por el aumento en las variantes de malware que otorgan a los atacantes vía libre para obtener control remoto completo sobre los sistemas atacados, como un nefasto Remcos RAT distribuido a través de un vector de ataque de phishing. A comienzos de enero de 2025, los defensores descubrieron un malware sigiloso emergente denominado NonEuclid RAT, que está enriquecido con capacidades ofensivas sofisticadas, como técnicas avanzadas de evasión de detección, escalamiento de privilegios y cifrado de ransomware. attack vector. At the turn of January 2025, defenders unveiled an emerging stealthy malware dubbed NonEuclid RAT, which is enriched with sophisticated offensive capabilities, like advanced detection evasion techniques, privilege escalation, and ransomware encryption.
Detectar ataques de NonEuclid RAT
En el último año, los investigadores de ciberseguridad registraron un aumento del 30% en el volumen global de malware en comparación con 2023, destacando una escalada persistente de la actividad maliciosa en todo el mundo. Este aumento subraya la creciente sofisticación de las amenazas cibernéticas y los desafíos cada vez mayores que enfrentan los equipos de seguridad.
Para contrarrestar eficazmente las amenazas emergentes, los defensores cibernéticos necesitan acceso a reglas de detección enriquecidas con CTI que proporcionen conocimientos en tiempo real sobre los patrones de ataque en evolución. Confía en SOC Prime Platform para la defensa cibernética colectiva, equipando a tu equipo con contenido de detección curado sobre amenazas emergentes, como NonEuclid RAT, respaldado por un conjunto completo de productos para la detección avanzada de amenazas y el caza de amenazas.
Haz clic en el botón Explorar detecciones a continuación y profundiza inmediatamente en un conjunto de reglas Sigma que abordan ataques de NonEuclid RAT. Todas las reglas están mapeadas al marco MITRE ATT&CK y son compatibles con más de 30 soluciones SIEM, EDR y Data Lake. Además, las reglas están enriquecidas con extensa metadata, incluyendo inteligencia de amenazas referencias, enlaces de medios, líneas de tiempo de ataques y más.
Análisis de NonEuclid RAT
Los investigadores de CYFIRMA han arrojado luz recientemente sobre una amenaza emergente, que muestra un nuevo nivel de complejidad del malware. NonEuclid RAT, un nuevo malware sigiloso basado en C# desarrollado para .NET Framework 4.8, está diseñado para evitar la detección mientras proporciona acceso remoto no autorizado al entorno de la víctima a través de características avanzadas, como el cifrado de ransomware, escalamiento de privilegios y capacidades mejoradas de evasión de detección.
El malware se promociona ampliamente en foros de hacking y redes sociales, atrayendo la atención por sus capacidades de sigilo, carga dinámica de DLL, comprobaciones anti-VM y cifrado AES. El desarrollador del malware, conocido bajo el apodo de «NAZZED,» ha estado promoviendo NonEuclid desde octubre de 2021. CYFIRMA señaló que el RAT fue ampliamente anunciado, vendido y discutido en varios foros rusos y canales de Discord, destacando su popularidad en círculos cibercriminales y su uso en ataques avanzados.
El código del malware inicializa una aplicación cliente con diversas características de seguridad, anti-detección y persistencia. Comienza retrasando la ejecución y cargando configuraciones. Si las configuraciones fallan, se sale. La aplicación asegura privilegios administrativos, realiza análisis anti-detección y previene instancias duplicadas usando un mutex. El bloqueo de procesos y el registro se activan, mientras que un socket de cliente maneja la comunicación del servidor con reconexión continua si se corta el enlace.
Un socket TCP inicia la conexión, ajustando los tamaños de buffer y tratando de alcanzar una IP y puerto especificado. Una vez exitoso, envuelve el socket en un NetworkStream, establece temporizadores para paquetes de keep-alive y pong, y empieza la lectura asíncrona de datos. Se configuran propiedades de conexión como cabeceras, desplazamientos e intervalos, mientras que una conexión fallida establece el estado a falso.
NonEuclid RAT aplica una amplia gama de herramientas ofensivas para eludir la detección, elevar privilegios y establecer persistencia en la computadora afectada. El método AntiScan del malware elude Windows Defender añadiendo exclusiones al registro, previniendo que archivos como el servidor del malware y ejecutables sean escaneados. El método de Bloqueo monitoriza y termina procesos como “Taskmgr.exe” y “ProcessHacker.exe” usando llamadas de la API de Windows. El malware también crea una tarea programada para ejecutar un comando a intervalos establecidos, ocultando la ventana de comando. El método de Evasión modifica el registro de Windows para eludir restricciones, ejecutando un ejecutable secundario si se otorgan privilegios administrativos. El método HKCU actualiza una clave del registro bajo HKEY_CURRENT_USER con un valor dado.
En cuanto a las herramientas de cifrado del ransomware, los atacantes cifran tipos de archivos como “.csv”, “.txt” y “.php” usando AES y los renombran con la extensión “.NonEuclid.” Al ejecutarse, NonEuclid deja caer dos archivos ejecutables en carpetas separadas, los cuales están configurados para ejecutarse automáticamente a través del Programador de Tareas. Esto asegura persistencia, permitiendo que el malware continúe operando incluso después de que el sistema se reinicie o se intente terminar el proceso.
La creciente popularidad de NonEuclid RAT, impulsada por discusiones centradas en malware a través de diversas plataformas populares, indica un esfuerzo coordinado para expandir su uso ofensivo, exigiendo una mayor vigilancia por parte de los expertos en ciberseguridad. Defenderse de tales amenazas requiere estrategias proactivas, monitoreo continuo y conciencia de las tácticas cibercriminales en evolución. SOC Prime Platform para la defensa cibernética colectiva proporciona a las organizaciones globales tecnologías de vanguardia para la ingeniería avanzada de detección, detección proactiva de amenazas y caza de amenazas automatizada para superar a las amenazas cibernéticas. Al aprovechar el feed de amenazas emergentes , los equipos de seguridad pueden acceder instantáneamente a una fuente centralizada de inteligencia de amenazas procesable, reglas de detección relevantes y contexto enriquecido con IA para estar siempre informados y adelantarse a los adversarios.
