Quasar RAT : Détecter les Successeurs Malveillants
Table des matières :
L’outil d’administration à distance Quasar (RAT) est un malware multi-fonctionnel et léger activement utilisé par les acteurs APT depuis 2014. Le code de Quasar est disponible publiquement en tant que projet open-source, ce qui rend le Trojan extrêmement populaire parmi les adversaires en raison de ses larges options de personnalisation. En conséquence, une variété d’échantillons existe au sein de la famille de malwares Quasar. Beaucoup d’entre eux ont été utilisés par des acteurs soutenus par des nations dans leurs campagnes malveillantes. La dernière opération notoire visant à infecter avec Quasar a été lancée par APT10.
Description de Quasar RAT
Quasar est un outil d’accès à distance initialement développé comme une utilité Windows légitime pour le support utilisateur et la surveillance des employés. En fait, le développeur promeut Quasar comme une solution d’accès à distance facile à utiliser et hautement stable pour les administrateurs, compatible avec la plupart des versions de Windows. La première variante de cet outil a été publiée en juillet 2014 sous le nom de « xRAT », cependant, en 2015, il a été renommé Quasar, présumément dans une tentative de distinguer le logiciel légitime de ses homologues malveillants.
Après que l’outil ait été publié sur GitHub pour un téléchargement gratuit en 2015, les acteurs de la menace ont tourné leur attention vers cette solution multifonctionnelle et personnalisable. Par exemple, en 2017, le groupe Gaza Cybergang a exploité Quasar RAT pour cibler les gouvernements à travers le Moyen-Orient. En 2018, il a été utilisé par Patchwork APT pour attaquer les think tanks américains. En 2019, le malware a été repéré dans une campagne malveillante sophistiquée contre le gouvernement ukrainien et l’armée. Enfin, fin 2020, des chercheurs ont révélé une opération de longue durée de l’APT10 visant des entreprises leaders de l’industrie à travers le Japon. Notamment, le groupe APT10 parrainé par l’État chinois (Cicada, Stone Panda) a ajouté Quasar à son arsenal dès 2016, utilisant en permanence ses versions personnalisées pour voler des données.
La dernière campagne APT10 a utilisé Quasar RAT pour cibler les principaux vendeurs automobiles, pharmaceutiques et d’ingénierie au Japon. Les filiales situées dans 17 régions à travers le monde étaient également attaquées à des fins de reconnaissance. Les acteurs de la menace ont utilisé une version personnalisée de la menace, qui diffère légèrement de son prédécesseur. En particulier, les adversaires ont ajouté la capacité de télécharger des modules de plugin supplémentaires, ce qui rend le malware facilement adaptable aux objectifs dynamiques changeants. De plus, les routines de communication et de cryptage ont été modifiées.
Quasar RAT : Chaîne de destruction d’attaque
Comme Quasar RAT est largement adopté par différents hackers, allant des script-kiddies aux APT, de nombreuses versions personnalisées peuvent être trouvées dans l’arène de la cyber-menace. La liste de successeurs inclut CinaRAT, QuasarStrike, VenomRAT, VoidRAT, AsyncRAT, et plus encore. Cependant, la majorité des échantillons malveillants suivent la même routine d’attaque.
Quasar est généralement délivré avec l’aide de spams ou de courriels de phishing contenant des fichiers malveillants en pièce jointe. Une telle approche est raisonnable car Quasar n’inclut pas d’exploits de vulnérabilité. Les hackers doivent appliquer d’autres malwares ou techniques pour compromettre l’instance ciblée avant d’utiliser Quasar.
Lors de l’exécution, Quasar RAT obtient une persistance en utilisant deux méthodes : les tâches planifiées et les clés de registre. Ensuite, le Trojan escalade ses privilèges en lançant une invite de commande (cmd.exe) en tant qu’administrateur. Si le contrôle de compte utilisateur Windows (UAC) est configuré, le malware déclenche une fenêtre contextuelle UAC demandant aux victimes d’accepter l’invite de commande. Enfin, le Quasar RAT commence ses activités de vol de données. Le Trojan a une fonctionnalité assez large qui inclut la gestion des tâches et des fichiers, le téléchargement de fichiers, la terminaison de connexions, la destruction de processus, l’exécution de commandes, l’ouverture de connexions de bureau à distance, la capture d’écran, l’enregistrement de la webcam, la journalisation des frappes, le vidage des mots de passe, et plus encore.
Détection de Quasar
Pour améliorer la détection et la défense proactive contre les échantillons de la famille de malwares Quasar, notre développeur Threat Bounty Osman Demir a publié une règle Sigma dédiée :
https://tdm.socprime.com/tdm/info/WWXWHb1OJ3yt/Eb9NTncBR-lx4sDxFU7L/#rule-context
La règle a été traduite sur les plateformes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK :
Tactiques : Exécution, Persistance, Élévation de privilèges
Techniques : Tâche planifiée (T1053)
Obtenez un abonnement au Threat Detection Marketplace pour réduire le temps moyen de détection des cyber-attaques avec notre bibliothèque de contenu SOC de plus de 90 000 contenus. La base de contenu s’enrichit chaque jour pour détecter les menaces cybernétiques les plus alarmantes aux premiers stades du cycle de vie des attaques. Avez-vous envie de créer votre propre contenu sélectionné? Rejoignez notre communauté Threat Bounty pour un avenir plus sûr !
