Nouveau Modèle FatalRAT : Les Hackers Purple Fox Augmentent Leur Infrastructure de Botnet
Table des matières :
Malware Purple Fox sème toutes sortes de ravages sur les ordinateurs personnels depuis 2018, infectant plus de 30 000 machines dans le monde. Les dernières études ont découvert que les hackers de Purple Fox continuent d’améliorer leur infrastructure et d’ajouter de nouvelles portes dérobées.
Pour étendre l’échelle du botnet, Purple Fox diffuse des installateurs trojanisés qui se font passer pour des packages logiciels légitimes. Le facteur inquiétant est que les attaquants ont développé un nouveau vecteur d’arrivée alimenté par des chargeurs d’accès anticipé.
Le malware amélioré FatalRAT est une nouvelle variante d’un cheval de Troie d’accès à distance avec un arsenal de rootkits signés pour éviter les antivirus.
Détection FatalRAT
Notre dernier Sigmabasé sur la détection par Nattatorn Chuensangarun détecte le comportement de FatalRat retravaillé par les opérateurs de malware Purple Fox pour contourner les logiciels de sécurité.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, traitant des techniques de Découverte de Processus (T1057), Interprète de Commandes et de Scripts (T1059), et Injection de Processus (T1055).
Une autre règle Sigma créée par notre prolifique développeur Threat Bounty détecte les comportements de registre de FatalRat. détecte les comportements de registre de FatalRat. detects FatalRat registry behaviors.
Comportement possible de FatalRAT (via reg.exe)
La règle aborde les techniques de Modification de Registre (T1112) et Fichiers ou Informations Obfusqués (T1027) de MITRE ATT&CK®.
Vous pouvez immédiatement accéder à une liste de tout le contenu de détection actuellement disponible pour repérer les attaques potentielles d’une nouvelle variante de FatalRAT en cliquant sur Voir les Détections et en vous connectant à votre plateforme SOC Prime . Et si vous êtes chercheur en sécurité ou ingénieur, vous pouvez partager votre expertise en contribuant à notre programme Threat Bounty.
Voir les Détections Rejoindre Threat Bounty
Analyse de FatalRAT
Les chargeurs de première étape de FatalRAT sont cachés dans des packages logiciels qui ressemblent à des chargeurs d’applications comme Telegram, Chrome, Adobe et WhatsApp. Un caractère à la fin du nom d’un fichier exécutable correspond à une charge utile spécifique. Une demande pour la charge utile de deuxième étape provient de ce seul caractère et est envoyée par le premier EXE à un serveur C&C.
Similaire à leurs campagnes précédentes, Purple Fox utilise des serveurs de fichiers HTTP (HFS) pour faire fonctionner des serveurs C&C, hébergeant des fichiers pour les machines infectées qui fonctionnent comme leurs bots. L’un des serveurs HFS exposés a été analysé par des chercheurs et a montré une haute fréquence de mise à jour des packages logiciels. Environ tous les neuf jours, environ 25 packages sont mis à jour. Fin mars 2022, ce processus est toujours en cours.
FatalRAT est un implant basé sur C++ qui offre une vaste fonctionnalité d’accès à distance pour les attaquants. Il peut télécharger et exécuter des modules additionnels de différents types, en fonction des résultats de l’analyse du système infecté et des objectifs spécifiques du botnet. L’exécution de FatalRAT est ajustée si le malware trouve des clés de registre ou des agents antivirus.
L’évasion d’antivirus inclut également l’utilisation de modules exécutables portables (PE) avec une large gamme de capacités. Par exemple, l’un des derniers clusters de FatalRAT a des liens avec des familles de malwares plus anciennes, comme un installateur MSI Purple Fox déjà documenté. En plus de cela, il montre diverses capacités de rootkit dans des modules PE supplémentaires, la capacité d’analyser un certain nombre d’adresses d’API système et de résoudre différentes API système à partir de charges utiles antérieures.
La dernière activité de Purple Fox pourrait nécessiter une attention particulière des équipes SOC en raison de la fonctionnalité étendue de FatalRAT. Son chargeur de shellcode en mode utilisateur personnalisé ne s’appuie pas sur le chargeur natif tout en minimisant les preuves médico-légales laissées après l’exécution. Et en raison de peu de preuves, il devient particulièrement difficile de retracer l’activité en cours de FatalRAT. En outre, le malware abuse des certificats de signature de code légitimes et des pilotes de noyau Windows non protégés. Profitez des bénéfices de la plateforme de Detection as Code de SOC Prime pour vous assurer que votre équipe SOC peut mettre en œuvre le contenu de détection le plus récent dans les délais les plus courts.
