Quasar RAT: Detectando Sucesores Maliciosos
Tabla de contenidos:
La herramienta de administración remota (RAT) Quasar es un malware multifuncional y ligero utilizado activamente por actores APT desde 2014. El código de Quasar está disponible públicamente como un proyecto de código abierto, lo que hace que el troyano sea extremadamente popular entre los adversarios debido a sus amplias opciones de personalización. Como resultado, existe una variedad de muestras dentro de la familia de malware Quasar. Muchos de ellos fueron utilizados por actores respaldados por naciones en sus campañas maliciosas. La última operación notoria dirigida a la infección de Quasar fue lanzada por APT10.
Descripción de Quasar RAT
Quasar es una herramienta de acceso remoto desarrollada inicialmente como una utilidad legítima de Windows para soporte al usuario y monitoreo de empleados. De hecho, el desarrollador promociona Quasar como una solución de acceso remoto fácil de usar y altamente estable para administradores, compatible con la mayoría de las versiones de Windows. La primera variante de esta herramienta se lanzó en julio de 2014 y se llamó “xRAT”; sin embargo, en 2015, se renombró como Quasar, presumiblemente en un intento de distinguir el software legítimo de sus equivalentes maliciosos.
Después de que la herramienta se lanzó en GitHub para su descarga gratuita en 2015, los actores de amenazas se centraron en esta solución multifuncional y personalizable. Por ejemplo, en 2017, el grupo Gaza Cybergang aprovechó Quasar RAT para atacar a gobiernos en todo Oriente Medio. En 2018, fue utilizado por Patchwork APT para atacar a los think tanks de EE.UU. En 2019, el malware fue detectado en una sofisticada campaña maliciosa contra el Gobierno y el ejército ucraniano. Finalmente, a finales de 2020, los investigadores revelaron una operación de larga duración de ATP10 dirigida a empresas líderes de la industria en Japón. Notablemente, el grupo APT10 (Cicada, Stone Panda), patrocinado por el estado chino, añadió Quasar a su conjunto de herramientas desde 2016, utilizando permanentemente sus versiones personalizadas para robar datos.
La última campaña de APT10 utilizó Quasar RAT para atacar a grandes proveedores automotrices, farmacéuticos e ingenieriles en Japón. Las subsidiarias ubicadas en 17 regiones de todo el mundo también fueron atacadas con fines de reconocimiento. Los actores de amenazas usaron una versión personalizada de la amenaza, que difiere ligeramente de su predecesora. En particular, los adversarios añadieron la capacidad de descargar módulos de complemento adicionales, lo que hace que el malware sea fácilmente adaptable a los objetivos en constante cambio. Además, las rutinas de comunicación y cifrado fueron modificadas.
Quasar RAT: Cadena de Eliminación de Ataques
Dado que Quasar RAT es ampliamente adoptado por diferentes hackers, desde aficionados sin experiencia hasta APTs, se pueden encontrar muchas de sus versiones personalizadas en el ámbito de amenazas cibernéticas. La lista de sucesores incluye CinaRAT, QuasarStrike, VenomRAT, VoidRAT, AsyncRAT, y más. Sin embargo, la mayoría de las muestras maliciosas siguen la misma rutina de ataque.
Quasar se entrega típicamente con la ayuda de correos electrónicos de spam o phishing que tienen archivos maliciosos adjuntos. Tal enfoque es razonable ya que Quasar no incluye ningún tipo de explotación de vulnerabilidades. Los hackers necesitan aplicar otros malware o técnicas para comprometer la instancia objetivo antes de usar Quasar.
Al ejecutarse, Quasar RAT logra persistencia utilizando dos métodos: tareas programadas y claves del registro. Además, el troyano escala sus privilegios lanzando un símbolo del sistema (cmd.exe) como administrador. En caso de que el Control de Cuentas de Usuario (UAC) de Windows esté configurado, el malware provoca un mensaje UAC pidiendo a las víctimas que acepten el símbolo del sistema. Finalmente, Quasar RAT comienza sus actividades de robo de datos. El troyano tiene una funcionalidad bastante amplia que incluye administración de tareas y archivos, descarga de archivos, terminación de conexiones, eliminación de procesos, ejecución de comandos, apertura de conexiones de escritorio remoto, toma de capturas de pantalla, grabación de cámara web, registro de teclas, volcado de contraseñas y más.
Detección de Quasar
Para mejorar la detección y la defensa proactiva de las muestras de la familia de malware Quasar, nuestro desarrollador de Threat Bounty Osman Demir lanzó una regla Sigma dedicada:
https://tdm.socprime.com/tdm/info/WWXWHb1OJ3yt/Eb9NTncBR-lx4sDxFU7L/#rule-context
La regla tiene traducción a las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Tácticas: Ejecución, Persistencia, Escalamiento de Privilegios
Técnicas: Tarea Programada (T1053)
Obtén una suscripción al Mercado de Detección de Amenazas para reducir el tiempo medio de detección de ciberataques con nuestra biblioteca de contenido de más de 90,000+ SOC. La base de contenido se enriquece cada día para detectar las amenazas cibernéticas más alarmantes en las primeras etapas del ciclo de vida del ataque. ¿Tienes el deseo de crear tu propio contenido curado? Únete a nuestra comunidad de Threat Bounty ¡para un futuro más seguro!
