Détection de VenomRAT : Une nouvelle attaque multi-étapes utilisant ScrubCrypt pour déployer la charge utile finale avec des plugins malveillants
Table des matières :
Les chercheurs en cybersécurité ont dévoilé une attaque sophistiquée en plusieurs étapes, dans laquelle les adversaires tirent parti de l’outil d’évasion anti-malware ScrubCrypt pour déposer VenomRAT ainsi que plusieurs plugins nuisibles, y compris les sinistres Remcos, XWorm, NanoCore RAT, et d’autres souches malveillantes.
Détecter VenomRAT Déployé via ScrubCrypt
Avec la prolifération des cyberattaques et l’utilisation croissante de méthodes d’intrusion sophistiquées, les défenseurs du cyberespace nécessitent des solutions avancées pour renforcer leurs capacités de défense à grande échelle. La plateforme SOC Prime pour la défense collective offre une technologie de pointe pour la détection et la chasse aux menaces tout en servant le plus grand référentiel mondial de détections comportementales contre les dernières TTP.
Pour repérer l’activité malveillante associée à la dernière campagne ScrubCrypt, les professionnels de la sécurité peuvent s’appuyer sur une pile de détection sélectionnée disponible dans la plateforme SOC Prime. Cliquez simplement sur le bouton Explore Detection ci-dessous et accédez immédiatement à la liste des règles Sigma pertinentes compatibles avec 28 technologies SIEM, EDR et Data Lake. Toutes les détections sont mappées au cadre MITRE ATT&CK v14.1 et enrichies avec une intelligence sur les menaces sur mesure.
De plus, les experts en cybersécurité peuvent explorer un ensemble de contenus de détection concernant les attaques VenomRAT en cherchant sur le Threat Detection Marketplace avec le tag ¨VenomRAT¨ ou en utilisant ce lien.
Analyse de la Propagation de VenomRAT via l’Attaque ScrubCrypt
Le 8 avril 2024, les chercheurs de FortiGuard Labs ont publié un rapport mettant en lumière une nouvelle campagne offensive avancée lancée via un vecteur d’attaque de phishing. Les hackers utilisent le cadre ScrubCrypt pour distribuer une charge utile VenomRAT couplée avec un ensemble d’autres plugins malveillants employant de nombreuses couches de techniques d’obfuscation et d’évasion.
La chaîne d’infection est déclenchée par des e-mails de phishing contenant des fichiers SVG nuisibles. Cliquer sur une pièce jointe appât dans l’e-mail entraîne le téléchargement d’une archive ZIP avec un fichier Batch obfuscé avec l’utilitaire BatCloak, que les attaquants utilisent depuis longtemps pour échapper à la détection. Ensuite, les hackers appliquent ScrubCrypt pour propager VenomRAT et d’autres plugins nuisibles sur les systèmes compromis tout en établissant une connexion avec le serveur C2.
La charge utile initiale livrée via ScrubCrypt sert deux objectifs principaux : établir la persistance et charger le logiciel malveillant ciblé. VenomRAT, une itération modifiée d’un Quasar RATnéfaste, a été repéré sur la scène des menaces cyber depuis 2020. Les adversaires l’appliquent pour accéder et prendre illicitement le contrôle des systèmes affectés. Semblable à d’autres RATs, VenomRAT permet aux attaquants de manipuler les appareils compromis à distance, facilitant diverses activités malveillantes sans la connaissance ou l’autorisation de la victime.
En plus de VenomRAT, les hackers le déploient NanoCore RAT sur les instances impactées à l’aide d’un fichier VBS obfusqué. Ils larguent également XWorm RAT, un logiciel malveillant capable de voler des données sensibles ou de permettre un accès à distance. Le quatrième plugin appliqué dans cette campagne offensive est le notoire Remcos RAT, qui a été activement utilisé dans des campagnes de phishing contre l’Ukraine. Un autre plugin de la boîte à outils de l’adversaire est un stealer, qui n’est pas seulement distribué via le script VBS obfusqué mentionné ci-dessus, mais est également intégré dans un fichier d’exécution .NET qui est obfusqué à l’aide de SmartAssembly. Ce plugin inclut un tableau codé en dur représentant le fichier DLL malveillant destiné à voler les données sensibles de l’utilisateur. Ce dernier suit en continu le système de l’utilisateur et s’intéresse spécifiquement aux portefeuilles de crypto-monnaie.
L’émergence d’attaques cyber sophistiquées similaires, dans lesquelles les adversaires montrent la capacité de maintenir la persistance, de contourner la détection et de déployer diverses charges utiles, alimente le besoin critique de mesures de défense cyber robustes pour minimiser les risques d’intrusions. En exploitant SOC Prime’s Attack Detective, les organisations peuvent améliorer leur défense cyber grâce à une validation automatisée des piles de détection pour anticiper les attaques avant qu’elles ne frappent.
