Rilevamento di RevC2 e Venom Loader: Nuovi Ceppi di Malware Massicciamente Distribuiti tramite MaaS in una Campagna Sofisticata
Indice:
Nuovo giorno, una nuova minaccia per i difensori informatici. Recentemente, i ricercatori di sicurezza di ThreatLabz hanno scoperto due nuove varianti malevole che si aggiungono ai 100 milioni già identificati nel 2024. Secondo i rapporti, i recentemente rivelati RevC2 e Venom Loader sono in circolazione dall’estate del 2024, sfruttando la piattaforma Malware-as-a-Service (MaaS) di Venom Spider per il dispiegamento.
Rileva RevC2 e Venom Loader
A seguito degli attacchi SmokeLoader rivolti alle organizzazioni taiwanesi, gli esperti di sicurezza hanno identificato una nuova campagna sofisticata che distribuisce le varianti malware RevC2 e Venom Loader. Per superare minacce emergenti e identificare attacchi informatici nelle fasi iniziali di sviluppo, i difensori informatici possono fare affidamento sulla Piattaforma SOC Prime per la difesa informatica collettiva. La Piattaforma aggrega uno stack di regole Sigma dedicato alla rilevazione di RevC2 e Venom Loader accompagnato da una suite completa di prodotti per la rilevazione avanzata delle minacce e la caccia.
Premere il pulsante Esplora rilevazioni sotto e approfondire immediatamente un set di rilevazioni rilevanti per individuare l’attività dannosa collegata a RevC2 e VenomLoader. Tutte le regole sono compatibili con più di 30 tecnologie SIEM, EDR e Data Lake, mappate a MITRE ATT&CK® e arricchite con estesi metadati, inclusi collegamenti CTI, cronologie degli attacchi e raccomandazioni per il triage.
Gli ingegneri della sicurezza possono anche sfruttare Uncoder AI per semplificare il packaging IOC e l’analisi retrospettiva delle TTP avversarie osservate negli attacchi di revC2 e Venom Loader. Converti istantaneamente le IOC dalla corrispondente ricerca di Zscaler ThreatLabz in query personalizzate compatibili con vari linguaggi SIEM, EDR e Data Lake.
Analisi di RevC2 e Venom Loader
Zscaler ThreatLabz ha recentemente identificato due nuove famiglie di malware chiamate RevC2 e Venom Loader distribuite in due campagne offensive degne di nota nel periodo compreso tra agosto e ottobre 2024 tramite gli strumenti MaaS di Venom Spider.
RevC2 utilizza WebSockets per la comunicazione con il suo server C2. Il malware può rubare cookie e password, reindirizzare il traffico di rete e facilitare l’RCE. Un altro campione malevolo emerso dalla suite offensiva di Venom Spider è un loader di malware di nuova concezione chiamato Venom Loader, unicamente adattato a ciascun obiettivo codificando il payload utilizzando il nome del computer della vittima.
Venom Spider, anche noto come GOLDEN CHICKENS, è un collettivo di hacker noto per fornire strumenti MaaS, inclusi VenomLNK, TerraLoader, TerraStealer e TerraCryptor. Questi strumenti offensivi sono stati precedentemente utilizzati anche da altri gruppi avversari come FIN6 e Cobalt.
La prima campagna malevola distribuisce il backdoor RevC2 utilizzando un’esca di documentazione API. La catena di infezione inizia con un file VenomLNK contenente uno script batch offuscato che scarica un file PNG mascherato da documentazione API.
Lo script registra un controllo ActiveX per eseguire il malware RevC2, che verifica se il primo argomento termina con dWin.ocx e il percorso eseguibile corrisponde a regsvr32.exe, garantendo l’attivazione solo in catene di attacco legittime e quindi facilitando l’evasione del rilevamento. RevC2 utilizza WebSockets per la comunicazione C2 tramite la libreria websocketpp. È degno di nota che i ricercatori di ThreatLabz abbiano fornito uno script Python per emulare un server RevC2, disponibile su GitHub.
Un’altra campagna offensiva di Venom Spider utilizza finte transazioni di criptovaluta per diffondere Venom Loader, che distribuisce il backdoor More_eggs lite, uno strumento basato su JavaScript che può potenzialmente portare all’RCE. Il flusso di attacco inizia con un file VenomLNK contenente uno script BAT offuscato che scrive ed esegue ulteriori script. Questi scarica e visualizza un’immagine di transazione di criptovaluta alla vittima mentre preleva un payload malevolo (base.zip) in background. Il payload estrae ed esegue un file eseguibile, che carica una DLL personalizzata (dxgi.dll) per avviare Venom Loader.
Venom Loader quindi lancia More_eggs lite, stabilisce la persistenza attraverso il registro autorun di Windows e utilizza richieste HTTP POST per comunicare con il suo server C2. I comandi vengono inviati tramite risposte JSON, decodificati ed eseguiti sul sistema compromesso.
Man mano che i difensori hanno svelato molteplici campagne che sfruttano RevC2 e Venom Loader, che sono ancora in fase di sviluppo e si prevede che evolveranno, acquisiranno capacità più sofisticate e applicheranno più tecniche di evasione del rilevamento, le organizzazioni sono incoraggiate a mantenere la vigilanza informatica contro le minacce in crescita. La suite completa di prodotti di SOC Prime per l’ingegneria della rilevazione potenziata dall’AI, la caccia automatizzata alle minacce e la caccia avanzata alle minacce serve come soluzione all-in-one di nuova generazione per assicurare una difesa informatica proattiva contro le minacce in evoluzione in un moderno e dinamico panorama di cyber threat dove ogni secondo conta. for AI-powered detection engineering, automated threat hunting, and advanced threat hunting serves as a next-gen all-in-one solution to ensure proactive cyber defense against evolving threats in a modern fast-paced cyber threat landscape where each second counts.
