Rilevamento NonEuclid RAT: Il Malware Consente Agli Avversari di Ottenere Accesso Remoto Non Autorizzato e Controllo su un Sistema Bersaglio
Indice:
Il panorama delle minacce informatiche moderne è caratterizzato dall’aumento delle varianti di malware che consentono agli aggressori di ottenere il pieno controllo remoto sui sistemi mirati, come ad esempio un nefasto Remcos RAT distribuito attraverso un vettore di attacco phishing. All’inizio di gennaio 2025, i difensori hanno svelato un malware emergente stealth denominato NonEuclid RAT, arricchito con sofisticate capacità offensive, come tecniche avanzate di evasione dalla rilevazione, escalation dei privilegi e crittografia ransomware. attack vector. At the turn of January 2025, defenders unveiled an emerging stealthy malware dubbed NonEuclid RAT, which is enriched with sophisticated offensive capabilities, like advanced detection evasion techniques, privilege escalation, and ransomware encryption.
Rileva gli attacchi NonEuclid RAT
Nell’ultimo anno, i ricercatori di sicurezza informatica hanno registrato un aumento del 30% nel volume globale di malware rispetto al 2023, evidenziando un’escalation persistente dell’attività malevola a livello mondiale. Tale aumento sottolinea la crescente sofisticazione delle minacce informatiche e le crescenti sfide affrontate dai team di sicurezza.
Per contrastare efficacemente le nuove minacce, i difensori del cyberspazio devono avere accesso a regole di rilevazione arricchite con CTI, che forniscano informazioni in tempo reale sui modelli di attacco in evoluzione. Affidati a SOC Prime Platform per la difesa informatica collettiva, per equipaggiare il tuo team con contenuti di rilevazione accuratamente selezionati sulle minacce emergenti, come il NonEuclid RAT, sostenuti da una suite completa di prodotti per la rilevazione e la caccia avanzata alle minacce.
Premi il Esplora Rilevazioni pulsante qui sotto e accedi immediatamente a un set di regole Sigma che affrontano gli attacchi NonEuclid RAT. Tutte le regole sono mappate al MITRE ATT&CK framework e sono compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake. Inoltre, le regole sono arricchite con ampi metadati, tra cui intelligence sulle minacce riferimenti, link ai media, cronologie degli attacchi e altro ancora.
Analisi del NonEuclid RAT
I ricercatori di CYFIRMA hanno recentemente fatto luce su una minaccia emergente, che mostra un nuovo livello di complessità del malware. NonEuclid RAT, un nuovo malware stealth basato su C# costruito per .NET Framework 4.8, è progettato per evitare la rilevazione mentre fornisce accesso remoto non autorizzato all’ambiente della vittima tramite funzionalità avanzate, come crittografia ransomware, escalation dei privilegi e capacità migliorate di evasione dalla rilevazione.
Il malware è ampiamente promosso su forum di hacking e social media, attirando l’attenzione per le sue capacità stealth, il caricamento dinamico di DLL, i controlli anti-VM e la crittografia AES. Lo sviluppatore del malware, noto con il soprannome “NAZZED,” lo promuove da ottobre 2021. CYFIRMA ha notato che il RAT è stato ampiamente pubblicizzato, venduto e discusso su diversi forum russi e canali Discord, evidenziando la sua popolarità nei cerchi dei cybercriminali e il suo utilizzo in attacchi avanzati.
Il codice del malware inizializza un’applicazione client con diverse funzionalità di sicurezza, anti-detection e persistenza. Inizia ritardando l’esecuzione e caricando le impostazioni. Se le impostazioni falliscono, si interrompe. L’app assicura i privilegi amministrativi, esegue scansioni anti-detection e previene istanze duplicate utilizzando un mutex. Sono attivati anti-blocking e logging, mentre un socket client gestisce la comunicazione con il server con riconnessione continua se il collegamento si interrompe.
Un socket TCP avvia la connessione, regolando le dimensioni del buffer e cercando di raggiungere un IP e una porta specificati. Una volta riuscito, incapsula il socket in un NetworkStream, imposta timer per pacchetti keep-alive e pong e inizia la lettura asincrona dei dati. Le proprietà della connessione come intestazioni, offset e intervalli vengono configurati, mentre una connessione non riuscita imposta lo stato su falso.
NonEuclid RAT applica una vasta gamma di strumenti offensivi per eludere la rilevazione, elevare i privilegi e stabilire la persistenza sul computer interessato. Il metodo AntiScan del malware elude Windows Defender aggiungendo esclusioni al registro, impedendo la scansione di file come il server e gli eseguibili del malware. Il metodo Block monitora e termina processi come “Taskmgr.exe” e “ProcessHacker.exe” utilizzando chiamate API di Windows. Il malware crea anche un’attività programmata per eseguire un comando a intervalli impostati, nascondendo la finestra del comando. Il metodo Bypass modifica il registro di Windows per eludere le restrizioni, eseguendo un eseguibile secondario se vengono concessi privilegi amministrativi. Il metodo HKCU aggiorna una chiave di registro sotto HKEY_CURRENT_USER con un valore dato.
Per quanto riguarda gli strumenti di crittografia ransomware, gli aggressori crittografano tipi di file come “.csv”, “.txt” e “.php” utilizzando AES e li rinominano con l’estensione “.NonEuclid.” Al momento dell’esecuzione, NonEuclid rilascia due file eseguibili in cartelle separate, che sono impostati per essere eseguiti automaticamente attraverso l’Utilità di pianificazione operazioni. Ciò assicura la persistenza, consentendo al malware di continuare a operare anche dopo il riavvio del sistema o tentativi di terminare il processo.
La crescente popolarità del NonEuclid RAT, guidata dalle discussioni incentrate sul malware su varie piattaforme popolari, indica uno sforzo coordinato per espandere il suo uso offensivo, richiedendo una maggiore vigilanza da parte degli esperti di sicurezza informatica. Difendersi da tali minacce richiede strategie proattive, monitoraggio continuo e consapevolezza delle tattiche in evoluzione dei cybercriminali. SOC Prime Platform per la difesa informatica collettiva fornisce alle organizzazioni globali tecnologie all’avanguardia per l’ingegneria avanzata della rilevazione, la rilevazione proattiva delle minacce e la caccia automatizzata alle minacce per superare le minacce informatiche. Sfruttando il feed Emerging Threats, i team di sicurezza possono accedere istantaneamente a una fonte centralizzata di intelligence sulle minacce attuabili, regole di rilevazione pertinenti e contesto arricchito dall’IA per rimanere sempre aggiornati e superare gli avversari.
