Nuovo Modello FatalRAT: Gli Hacker Purple Fox Stanno Aumentando la Loro Infrastruttura Botnet

[post-views]
Marzo 31, 2022 · 4 min di lettura
Nuovo Modello FatalRAT: Gli Hacker Purple Fox Stanno Aumentando la Loro Infrastruttura Botnet

Il malware Purple Fox sta devastando i personal computer dal 2018, infettando oltre 30.000 macchine a livello globale. L’ultima ricerche hanno scoperto che gli hacker di Purple Fox continuano a migliorare la loro infrastruttura e ad aggiungere nuove backdoor.

Per ampliare la portata della botnet, Purple Fox sta diffondendo installer trojanizzati che si mascherano come pacchetti software legittimi. L’aspetto inquietante è che gli aggressori hanno sviluppato un nuovo vettore di arrivo potenziato da loader di accesso anticipato.

Il malware aggiornato FatalRAT è una nuova variante di un trojan di accesso remoto con un arsenale di rootkit firmato per l’elusione degli antivirus.

Rilevamento di FatalRAT

Il nostro più recente rilevamento basato su Sigma di-based detection by Nattatorn Chuensangarun rileva il comportamento di FatalRAT rielaborato dagli operatori del malware Purple Fox per aggirare i software di sicurezza.

Possibile Evasione Comportamentale di FatalRAT aggirando i Software di Sicurezza (via process_creation)

La regola è allineata con il più recente framework MITRE ATT&CK® v.10, affrontando le tecniche di Process Discovery (T1057), Command and Scripting Interpreter (T1059), e Process Injection (T1055).

Un’altra regola Sigma creata dal nostro prolifico sviluppatore Threat Bounty developer Emir Erdogan rileva i comportamenti di registro di FatalRAT.

Possibile Comportamento di FatalRAT (via reg.exe)

La regola affronta le tecniche Modify Registry (T1112) e Obfuscated Files or Information (T1027) di MITRE ATT&CK®.

Puoi accedere immediatamente a un elenco di tutti i contenuti di rilevamento attualmente disponibili per individuare possibili attacchi di una nuova variante di FatalRAT cliccando su Visualizza Rilevamenti e accedendo alla tua piattaforma SOC Prime account. E se sei un ricercatore di sicurezza o un ingegnere, puoi condividere le tue competenze contribuendo al nostro programma Threat Bounty.

Visualizza Rilevamenti Partecipa a Threat Bounty

Analisi di FatalRAT

I loader di prima fase di FatalRAT sono nascosti all’interno di pacchetti software che assomigliano ai loader di applicazioni come Telegram, Chrome, Adobe e WhatsApp. Un carattere alla fine del nome di un file eseguibile corrisponde a uno specifico payload. Una richiesta per il payload di seconda fase proviene da questo singolo carattere ed è inviata dal primo EXE a un server C&C.

Simile alle loro campagne precedenti, Purple Fox utilizza server di file HTTP (HFS) per operare server C&C, ospitando file per le macchine infette che funzionano come i loro bot. Uno dei server HFS esposti è stato analizzato dai ricercatori e ha mostrato un’alta frequenza di aggiornamenti dei pacchetti software. Circa ogni nove giorni vengono aggiornati circa 25 pacchetti. Alla fine di marzo 2022, questo processo è ancora in corso.

FatalRAT è un impianto basato su C++ che offre un’estesa funzionalità di accesso remoto per gli aggressori. Può scaricare ed eseguire moduli aggiuntivi di diverso tipo, a seconda dei risultati della scansione del sistema infetto e degli obiettivi specifici della botnet. L’esecuzione di FatalRAT viene adattata se il malware rileva chiavi di registro o agenti antivirus.

L’elusione degli antivirus include anche l’uso di moduli eseguibili portatili (PE) con una vasta gamma di capacità. Ad esempio, uno degli ultimi cluster di FatalRAT ha collegamenti a famiglie di malware più vecchie, come un precedentemente documentato installer MSI di Purple Fox. Oltre a ciò, mostra una varietà di capacità di rootkit in moduli PE aggiuntivi, la capacità di analizzare un numero di indirizzi di API di sistema e risolvere diverse API di sistema dai payload precedenti.

L’ultima attività di Purple Fox potrebbe richiedere un’attenzione speciale da parte dei team SOC a causa della funzionalità estesa di FatalRAT. Il suo loader shellcode personalizzato in modalità utente non si basa sul loader nativo minimizzando le prove forensi lasciate dopo l’esecuzione. E a causa delle poche prove, diventa particolarmente difficile tracciare l’attività in corso di FatalRAT. Inoltre, il malware sfrutta certificati di firma di codice legittimi e driver del kernel di Windows non protetti. Disponi i vantaggi della piattaforma Detection as Code di SOC Prime per garantire che il tuo team SOC possa implementare il contenuto di rilevamento più recente nel minor tempo possibile.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Accedi alla Funzionalità di Uncoder AI tramite API 2 min di lettura Piattaforma SOC Prime Accedi alla Funzionalità di Uncoder AI tramite API by Steven Edwards Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI 2 min di lettura Piattaforma SOC Prime Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI by Steven Edwards Tradurre da Sigma in 48 Lingue 2 min di lettura Piattaforma SOC Prime Tradurre da Sigma in 48 Lingue by Steven Edwards
Tutte le notizie