Détection de NonEuclid RAT : le malware permettant aux adversaires d’obtenir un accès et un contrôle à distance non autorisés sur un système ciblé
Table des matières :
Le paysage moderne des cybermenaces est marqué par la montée des variantes de logiciels malveillants qui donnent aux attaquants le feu vert pour obtenir un contrôle à distance complet sur les systèmes ciblés, comme un sinistre Remcos RAT répandu via un vecteur d’attaque par phishing. Au début de janvier 2025, les défenseurs ont dévoilé un nouveau logiciel malveillant furtif appelé NonEuclid RAT, qui est enrichi de capacités offensives sophistiquées, telles que des techniques avancées d’évitation de détection, escalade de privilèges et chiffrement par ransomware. attack vector. At the turn of January 2025, defenders unveiled an emerging stealthy malware dubbed NonEuclid RAT, which is enriched with sophisticated offensive capabilities, like advanced detection evasion techniques, privilege escalation, and ransomware encryption.
Détecter les attaques de NonEuclid RAT
Au cours de l’année passée, les chercheurs en cybersécurité ont enregistré une augmentation de 30 % du volume global de logiciels malveillants par rapport à 2023, soulignant une escalade persistante de l’activité malveillante dans le monde entier. Cette augmentation met en évidence la sophistication croissante des cybermenaces et les défis croissants auxquels sont confrontées les équipes de sécurité.
Pour contrer efficacement les menaces émergentes, les cyber-défenseurs ont besoin d’un accès à des règles de détection enrichies en CTI qui fournissent des informations en temps réel sur les modèles d’attaque en évolution. Comptez sur la plateforme SOC Prime pour la défense cybernétique collective afin d’équiper votre équipe de contenus de détection sélectionnés sur les menaces émergentes, telles que NonEuclid RAT, soutenus par un ensemble complet de produits pour la détection et la chasse aux menaces avancées.
Appuyez sur le bouton Explorer les détections ci-dessous et approfondissez immédiatement un ensemble de règles Sigma traitant des attaques de NonEuclid RAT. Toutes les règles sont cartographiées au cadre MITRE ATT&CK et compatibles avec plus de 30 solutions SIEM, EDR, et Data Lake. De plus, les règles sont enrichies de métadonnées étendues, y compris des références de renseignements sur les menaces, des liens médias, des chronologies d’attaques et plus encore. references, media links, attack timelines and more.
bouton Explorer les détections
Analyse de NonEuclid RAT
Les chercheurs de CYFIRMA ont récemment mis en lumière une menace émergente qui révèle un nouveau niveau de complexité des logiciels malveillants. NonEuclid RAT, un nouveau malware furtif basé sur C# conçu pour le .NET Framework 4.8, est conçu pour éviter la détection tout en fournissant un accès à distance non autorisé à l’environnement de la victime via des fonctionnalités avancées, telles que le chiffrement par ransomware, l’escalade de privilèges et les capacités d’évitation de détection améliorées.
Le logiciel malveillant est largement promu sur les forums de piratage et les réseaux sociaux, attirant l’attention pour ses capacités furtives, son chargement dynamique de DLL, ses vérifications anti-machine virtuelle et son chiffrement AES. Le développeur du malware, connu sous le pseudonyme « NAZZED », a promu NonEuclid depuis octobre 2021. CYFIRMA a noté que le RAT était largement annoncé, vendu et discuté sur plusieurs forums russes et canaux Discord, soulignant sa popularité dans les cercles cybercriminels et son utilisation dans les attaques avancées.
Le code du malware initialise une application cliente avec diverses fonctionnalités de sécurité, anti-détection et persistance. Il commence par retarder l’exécution et le chargement des paramètres. Si les paramètres échouent, il quitte. L’application garantit des privilèges administratifs, effectue des analyses anti-détection et empêche les instances dupliquées en utilisant un mutex. Le blocage des processus et la journalisation sont activés, tandis qu’une socket client gère la communication avec le serveur avec une reconnexion continue si le lien tombe.
Une socket TCP démarre la connexion, ajuste les tailles de tampon et tente d’atteindre une IP et un port spécifiés. Une fois réussi, elle enroule la socket dans un NetworkStream, établit des temporisateurs pour les paquets keep-alive et pong, et commence la lecture asynchrone des données. Les propriétés de connexion comme les en-têtes, les décalages, et les intervalles sont configurés, tandis qu’une connexion échouée définit le statut à faux.
NonEuclid RAT applique une large gamme d’outils offensifs pour contourner la détection, élever les privilèges et établir la persistance sur l’ordinateur affecté. La méthode AntiScan du malware contourne Windows Defender en ajoutant des exclusions au registre, empêchant que des fichiers tels que le serveur du malware et ses exécutables ne soient analysés. La méthode Block surveille et termine les processus comme “Taskmgr.exe” et “ProcessHacker.exe” en utilisant des appels API Windows. Le malware crée également une tâche planifiée pour exécuter une commande à des intervalles définis, cachant la fenêtre de commande. La méthode Bypass modifie le registre Windows pour contourner les restrictions, exécutant un exécutable secondaire si des privilèges administratifs sont accordés. La méthode HKCU met à jour une clé de registre sous HKEY_CURRENT_USER avec une valeur donnée.
En ce qui concerne les outils de chiffrement par ransomware, les attaquants chiffrent les types de fichiers comme “.csv”, “.txt” et “.php” en utilisant AES et les renomment avec l’extension “.NonEuclid”. Lors de l’exécution, NonEuclid dépose deux fichiers exécutables dans des dossiers séparés, qui sont configurés pour s’exécuter automatiquement via le Planificateur de tâches. Cela garantit la persistance, permettant au malware de continuer à fonctionner même après le redémarrage du système ou des tentatives de terminaison du processus.
La popularité croissante de NonEuclid RAT, alimentée par les discussions axées sur les logiciels malveillants à travers diverses plateformes populaires, indique un effort coordonné pour étendre son utilisation offensive, exigeant une vigilance accrue de la part des experts en cybersécurité. Se défendre contre de telles menaces nécessite des stratégies proactives, une surveillance continue et la connaissance des tactiques cybercriminelles en évolution. la plateforme SOC Prime pour la défense cybernétique collective offre aux organisations mondiales des technologies de pointe pour l’ingénierie avancée de la détection, la détection proactive des menaces et la chasse aux menaces automatisées pour surpasser les cybermenaces. En tirant parti du flux de menaces émergentes, les équipes de sécurité peuvent accéder instantanément à une source centralisée de renseignements sur les menaces exploitables, de règles de détection pertinentes et de contexte enrichi par l’IA pour toujours être au courant et surpasser les adversaires.
