Quasar RAT: Rilevare i Successori Maligni
Indice:
Quasar remote administration tool (RAT) è un malware multi-funzionale e leggero attivamente utilizzato da attori APT dal 2014. Il codice di Quasar è disponibile pubblicamente come progetto open-source, il che rende il Trojan estremamente popolare tra gli avversari grazie alle sue ampie opzioni di personalizzazione. Di conseguenza, esiste una varietà di campioni all’interno della famiglia di malware Quasar. Molti di essi sono stati utilizzati da attori sostenuti dalle nazioni nelle loro campagne malevoli. L’ultima operazione notoria mirata all’infezione da Quasar è stata lanciata da APT10.
Descrizione di Quasar RAT
Quasar è uno strumento di accesso remoto inizialmente sviluppato come utility legittima per Windows per il supporto utenti e il monitoraggio dei dipendenti. Infatti, lo sviluppatore promuove Quasar come una soluzione di accesso remoto facile da usare e altamente stabile per gli amministratori, compatibile con la maggior parte delle versioni di Windows. La prima variante di questo strumento è stata rilasciata a luglio 2014 e soprannominata “xRAT,” tuttavia, nel 2015 è stata rinominata Quasar, presumibilmente nel tentativo di distinguere il software legittimo dai suoi fratelli maligni.
Dopo che lo strumento è stato rilasciato su GitHub per il download gratuito nel 2015, gli attori malevoli hanno rivolto la loro attenzione a questa soluzione multi-funzionale e personalizzabile. Ad esempio, nel 2017 il gruppo Gaza Cybergang ha sfruttato Quasar RAT per mirare ai governi in tutto il Medio Oriente. Nel 2018 è stato usato dal Patchwork APT per attaccare i think tank degli Stati Uniti. Nel 2019 il malware è stato individuato in una sofisticata campagna malevola contro il Governo e l’esercito ucraino. Infine, alla fine del 2020, i ricercatori hanno rivelato un’operazione di lunga durata di ATP10 mirata a aziende leader del settore in tutto il Giappone. Notoriamente, il gruppo APT10 sponsorizzato dallo stato cinese (Cicada, Stone Panda) ha aggiunto Quasar al suo toolkit già nel 2016, utilizzando permanentemente le sue versioni personalizzate per rubare dati.
L’ultima campagna di APT10 ha usato Quasar RAT per mirare ai principali fornitori automobilistici, farmaceutici ed ingegneristici in Giappone. Anche le filiali situate in 17 regioni in tutto il mondo erano sotto attacco finalizzato a scopi di ricognizione. Gli attori malevoli hanno usato una versione personalizzata della minaccia, che differisce leggermente dal suo predecessore. In particolare, gli avversari hanno aggiunto la capacità di scaricare moduli plugin aggiuntivi, il che rende il malware facilmente adattabile agli obiettivi in continua evoluzione. Inoltre, le routine di comunicazione e crittografia sono state cambiate.
Quasar RAT: Catena di Attacco
Poiché Quasar RAT è ampiamente adottato da diversi hacker, dai script-kiddies agli APT, molte delle sue versioni personalizzate possono essere trovate nell’arena delle minacce informatiche. La lista dei successori comprende CinaRAT, QuasarStrike, VenomRAT, VoidRAT, AsyncRAT e molti altri. Tuttavia, la maggior parte dei campioni malevoli segue la stessa routine di attacco.
Quasar viene tipicamente distribuito con l’aiuto di email di spam o phishing che hanno allegati file malevoli. Un tale approccio è ragionevole poiché Quasar non include nessun exploit per vulnerabilità. Gli hacker devono applicare altri malware o tecniche per compromettere l’istanza bersagliata prima di utilizzare Quasar.
All’esecuzione, Quasar RAT ottiene persistenza utilizzando due metodi: attività pianificate e chiavi di registro. Successivamente, il Trojan eleva i suoi privilegi avviando un prompt dei comandi (cmd.exe) come amministratore. Nel caso in cui il Controllo Account Utente di Windows (UAC) sia configurato, il malware attiva un pop-up UAC chiedendo alle vittime di accettare il prompt dei comandi. Infine, Quasar RAT inizia le sue attività di furto dei dati. Il Trojan ha una funzionalità piuttosto ampia che include la gestione dei compiti e dei file, il download di file, la terminazione delle connessioni, la chiusura dei processi, l’esecuzione di comandi, l’apertura di connessioni desktop remote, la cattura di schermate, la registrazione tramite webcam, il keylogging, lo scarico delle password e altro ancora.
Rilevamento di Quasar
Per migliorare il rilevamento e la difesa proattiva dai campioni della famiglia di malware Quasar, il nostro sviluppatore Threat Bounty, Osman Demir ha rilasciato una regola Sigma dedicata:
https://tdm.socprime.com/tdm/info/WWXWHb1OJ3yt/Eb9NTncBR-lx4sDxFU7L/#rule-context
La regola ha traduzione per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Tattiche: Esecuzione, Persistenza, Escalation dei Privilegi
Tecniche: Attività Pianificata (T1053)
Ottieni un abbonamento al Threat Detection Marketplace per ridurre il tempo medio di rilevamento degli attacchi informatici con la nostra libreria di contenuti SOC di oltre 90,000 elementi. Il database dei contenuti si arricchisce ogni giorno per rilevare le minacce informatiche più allarmanti nelle primissime fasi del ciclo di attacco. Hai il desiderio di creare il tuo contenuto curato? Unisciti alla nostra comunità di Threat Bounty per un futuro più sicuro!
