Rilevamento di VenomRAT: Un Nuovo Attacco Multi-Stadio Usando ScrubCrypt per Distribuire il Payload Finale con Plugin Maligni

I ricercatori di cybersecurity hanno svelato un nuovo sofisticato attacco a più fasi, in cui gli avversari sfruttano lo strumento di evasione anti-malware ScrubCrypt per diffondere VenomRAT insieme a molteplici plugin dannosi, inclusi nefasti Remcos, XWorm, NanoCore RAT, e altre varianti malevoli.

Rileva VenomRAT distribuito tramite ScrubCrypt

Con la proliferazione degli attacchi informatici che utilizzano metodi d’intrusione sempre più sofisticati, i difensori cibernetici necessitano di soluzioni avanzate per potenziare la loro capacità di difesa informatica su larga scala. La piattaforma SOC Prime per la difesa informatica collettiva offre tecnologia all’avanguardia per il rilevamento e la caccia alle minacce, servendo il più grande repository mondiale di rilevamenti basati su comportamenti contro le ultime TTP.

Per individuare l’attività dannosa associata alla campagna più recente di ScrubCrypt, i professionisti della sicurezza possono fare affidamento su un pacchetto di rilevamento curato disponibile nella piattaforma SOC Prime. Basta premere il pulsante Esplora Rilevamenti qui sotto e approfondire immediatamente la lista delle regole Sigma compatibili con 28 tecnologie SIEM, EDR e Data Lake. Tutti i rilevamenti sono mappati al framework MITRE ATT&CK v14.1 e arricchiti con intelligence sulle minacce su misura.

Esplora Rilevamenti

Inoltre, gli esperti di cybersecurity possono esplorare un set di contenuti di rilevamento che riguardano gli attacchi VenomRAT cercando nel Threat Detection Marketplace con il tag ¨VenomRAT¨ o usando questo link.

Analisi degli Attacchi di Diffusione di VenomRAT tramite ScrubCrypt

L’8 aprile 2024, i ricercatori di FortiGuard Labs hanno pubblicato un rapporto che fa luce su una nuova campagna offensiva avanzata lanciata tramite un vettore di attacco phishing. Gli hacker utilizzano il framework ScrubCrypt per distribuire un payload VenomRAT abbinato a un insieme di altri plugin dannosi che impiegano numerosi strati di offuscamento e tecniche di evasione.

La catena d’infezione viene attivata da email di phishing con file SVG dannosi. Cliccando su un allegato-trappola all’interno dell’email si porta al download di un archivio ZIP contenente un file Batch offuscato con l’utility BatCloak, che gli aggressori hanno utilizzato a lungo per l’evasione del rilevamento. Successivamente, gli hacker applicano ScrubCrypt per diffondere VenomRAT e ulteriori plugin dannosi sui sistemi compromessi mentre stabiliscono una connessione con il server C2.

Il payload iniziale fornito tramite ScrubCrypt ha due obiettivi principali: stabilire una persistenza e caricare il malware mirato. VenomRAT, una versione modificata di un nefando Quasar RAT, è stato avvistato nell’arena delle minacce informatiche dal 2020. Gli avversari lo applicano per accedere illegalmente e prendere il controllo sui sistemi colpiti. Simile ad altri RAT, VenomRAT consente agli aggressori di manipolare i dispositivi compromessi a distanza, facilitando varie attività malevole senza la consapevolezza o l’autorizzazione della vittima.

Oltre a VenomRAT, gli hacker diffondono NanoCore RAT su istanze impattate utilizzando un file VBS offuscato. Distribuiscono anche XWorm RAT, un malware capace di rubare dati sensibili o abilitare accessi remoti. Il quarto plugin applicato in questa campagna offensiva è il noto Remcos RAT, che è stato attivamente sfruttato in campagne di phishing contro l’Ucraina. Un ulteriore plugin dell’arsenale avversario è uno stealer, che non solo viene distribuito tramite il suddetto script VBS offuscato, ma è anche integrato in un file eseguibile .NET che è offuscato usando SmartAssembly. Questo plugin include un array codificato hard rappresentante il file DLL dannoso destinato a rubare i dati sensibili dell’utente. Quest’ultimo monitora continuamente il sistema dell’utente e tiene d’occhio specifici portafogli di criptovalute.

L’emergere di simili sofisticati attacchi informatici, in cui gli avversari dimostrano la capacità di mantenere la persistenza, evadere la rilevazione e distribuire payload diversificati alimenta la necessità critica di misure difensive informatiche solide per ridurre al minimo i rischi di intrusioni. Sfruttando Attack Detective di SOC Prime, le organizzazioni possono elevare la difesa informatica tramite la convalida automatizzata della stack di rilevamento per prevenire gli attacchi prima che colpiscano.