Malware Warzone RAT usado por el APT Confucius en ataques dirigidos
Tabla de contenidos:
Los investigadores de seguridad han detectado una campaña en curso de Confucius APT que utiliza el malware Warzone RAT para comprometer a sus objetivos. Se presume que la campaña está dirigida al sector gubernamental de China y otros países del sur de Asia.
Descripción de Warzone RAT
Warzone remote access Trojan (RAT), un sucesor prolífico de AveMaria stealer, apareció por primera vez en 2018 como una cepa de malware como servicio (MaaS). A lo largo de 2020, Warzone fue significativamente perfeccionado por sus operadores para aumentar la competitividad en la arena maliciosa. Actualmente, el troyano se vende por $23-$50, dependiendo del período de alquiler que puede variar de uno a tres meses. Además, Warzone ofrece varias opciones de pago, incluyendo un veneno RAT, un Crypter, y exploits silenciosos para .DOC y Excel. Además, una versión crackeada del troyano se subió en GitHub, lo que amplía la adopción del malware en toda la comunidad cibercriminal.
¿Entonces, qué es el malware Warzone RAT? Warzone es un troyano de acceso remoto completo escrito en lenguaje C++ y compatible con la mayoría de las versiones de Windows. Según el análisis, el troyano puede proporcionar control remoto completo del PC objetivo. La lista de capacidades incluye el volcado automático de contraseñas de los principales navegadores y clientes de correo electrónico (Chrome, Firefox, Opera, Internet Explorer, Thunderbird, Foxmail, Outlook, y más). Además, el malware puede descargar y ejecutar archivos en el dispositivo comprometido, realizar la captura de teclas y la ejecución de comandos, conectar el módulo de la cámara web, habilitar el proxy inverso y facilitar la shell remota.
Es importante notar que Warzone RAT es exitoso al evadir la detección y elevar sus privilegios en la máquina comprometida. El malware incorpora un bypass de UAC capaz de superar las restricciones del sistema de archivos predeterminadas en Windows 10. Se realiza abusando de la función sdclt.exe dentro de la funcionalidad de copia de seguridad y restauración del sistema. Para versiones anteriores de Windows, el malware aplica un bypass de UAC distinto incluido en su configuración.
Resumen del Ataque
Los investigadores de Uptycs han analizado la cadena de eliminación de ataques de Warzone utilizada en la última campaña Confucius APT. La intrusión comienza con un documento señuelo llamado “Capacidades de Misiles de Crucero de China-Implicaciones para el Ejército Indio.docx”. Tal señuelo podría captar la atención de empleados dentro de los departamentos gubernamentales objetivos ya que describe las tensiones fronterizas actuales entre India y China. En caso de que un usuario fuera convencido de abrir el documento, descarga el exploit RTF de la siguiente etapa mediante inyección de plantilla. El exploit, a su vez, deja caer la carga útil final de Warzone RAT a través de un DLL incrustado.
El análisis del DLL permitió a los investigadores identificar tres documentos señuelo más probablemente dirigidos a otros objetivos del sector público en la región. Los engaños están relacionados con la actividad militar de China en el Estrecho de Taiwán, las decisiones de Joe Biden sobre asuntos de armas nucleares y la solicitud de empleo a la Comisión de Investigación Espacial y Superior de la Atmósfera de Pakistán (SUPARCO). Los cebos se habían distribuido desde octubre de 2020, lo que indica que la campaña dura al menos varios meses.
Detección de Malware Warzone RAT
Para detectar la actividad maliciosa de Warzone RAT, puede descargar una nueva regla Sigma lanzada por nuestro desarrollador de Threat Bounty, Osman Demir:
https://tdm.socprime.com/tdm/info/i17zSMtfKc76/-oy79nYBmo5uvpkjsFUZ/
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
MITRE ATT&CK:
Tácticas: Ejecución, Persistencia
Técnicas: Interfaz de Línea de Comandos (T1059), Claves de Registro de Ejecución/Carpeta de Inicio (T1060)
En caso de que no tenga acceso de pago al Mercado de Detección de Amenazas, puede activar su prueba gratuita bajo una suscripción comunitaria para desbloquear la regla Sigma relacionada con el troyano de acceso remoto Warzone.
Para acceder a más contenido relevante de SOC disponible en nuestra plataforma de forma gratuita, suscríbase al Mercado de Detección de Amenazas. Tenemos más de 81,000 elementos de contenido de detección compatibles con la mayoría de las plataformas SIEM, EDR, NTDR y SOAR. ¿Inspirado para crear sus propias reglas Sigma y contribuir a las iniciativas de caza de amenazas? Únase a nuestro Programa Threat Bounty ¡para un futuro más seguro!
