Warzone RAT Malware Utilizzato da Confucius APT in Attacchi Mirati
Indice:
I ricercatori di sicurezza hanno individuato una campagna in corso del gruppo APT Confucius che sfrutta il malware Warzone RAT per compromettere i suoi bersagli. La campagna è presumibilmente rivolta al settore governativo della Cina e di altri paesi del Sud Asia.
Descrizione di Warzone RAT
Warzone remote access Trojan (RAT), un prolifico successore di AveMaria stealer, è emerso per la prima volta nel 2018 come una variante di malware-as-a-service (MaaS). Durante il 2020 Warzone è stato notevolmente migliorato dai suoi operatori per aumentare la competitività nell’arena del malware. Attualmente il Trojan è venduto tra $23 e $50, a seconda del periodo di noleggio che può variare da uno a tre mesi. Inoltre, Warzone offre diverse opzioni a pagamento, tra cui un RAT poison, un Crypter e exploit silenziosi per .DOC ed Excel. Inoltre, una versione craccata del Trojan è stata caricata su GitHub, il che amplia l’adozione del malware all’interno della comunità criminale informatica.
Quindi, cos’è il malware Warzone RAT? Warzone è un Trojan di accesso remoto completo scritto in linguaggio C++ e compatibile con la maggior parte delle versioni di Windows. Secondo l’ analisi, il Trojan può fornire il pieno controllo remoto del PC bersaglio. La lista delle capacità include il dump automatico delle password dai principali browser e client email (Chrome, Firefox, Opera, Internet Explorer, Thunderbird, Foxmail, Outlook e altro). Inoltre, il malware può scaricare ed eseguire file sul dispositivo compromesso, eseguire keylogging e comandi, connettere il modulo della webcam, abilitare il proxy inverso e facilitare la shell remota.
Vale la pena notare che Warzone RAT ha successo nell’evitare il rilevamento e nell’elevare i suoi privilegi sulla macchina compromessa. Il malware incorpora un bypass UAC in grado di superare le restrizioni del sistema di file predefinito in Windows 10. È fatto abusando della funzionalità sdclt.exe all’interno della funzionalità di backup e ripristino del sistema. Per le versioni precedenti di Windows, il malware applica un bypass UAC distinto incluso nella sua configurazione.
Panoramica degli Attacchi
I ricercatori di Uptycs hanno analizzato la catena di attacco di Warzone utilizzata nella più recente campagna APT Confucius. L’intrusione inizia da un documento esca chiamato ‘China Cruise Missiles Capabilities-Implications for the Indian Army.docx.’ Tale esca potrebbe attirare l’attenzione dei dipendenti all’interno dei dipartimenti governativi bersaglio poiché descrive le attuali tensioni al confine tra India e Cina. Nel caso un utente fosse convinto ad aprire il documento, esso scarica l’exploit RTF della fase successiva attraverso l’iniezione del modello. L’exploit, a sua volta, lascia cadere il payload finale Warzone RAT tramite DLL incorporata.
L’analisi della DLL ha permesso ai ricercatori di identificare altri tre documenti esca probabilmente destinati ad altri obiettivi del settore pubblico nella regione. Le esche sono relative all’attività militare della Cina nello Stretto di Taiwan, alle decisioni di Joe Biden sui problemi delle armi nucleari e alla candidatura per l’applicazione al Pakistan Space & Upper Atmosphere Research Commission (SUPARCO). Le esche erano state distribuite da ottobre 2020, indicando che la campagna dura almeno diversi mesi.
Rilevamento del Malware Warzone RAT
Per rilevare l’attività dannosa di Warzone RAT, potresti scaricare una nuova regola Sigma rilasciata dal nostro sviluppatore di Threat Bounty Osman Demir:
https://tdm.socprime.com/tdm/info/i17zSMtfKc76/-oy79nYBmo5uvpkjsFUZ/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
MITRE ATT&CK:
Tactiche: Esecuzione, Persistenza
Tecniche: Interfaccia a riga di comando (T1059), Chiavi di registro/Cartella di avvio (T1060)
Nel caso non avessi accesso a pagamento a Threat Detection Marketplace, potresti attivare la tua prova gratuita sotto un abbonamento comunitario per sbloccare la regola Sigma relativa al Trojan di accesso remoto Warzone.
Per raggiungere più contenuti SOC rilevanti disponibili sulla nostra piattaforma gratuitamente, iscriviti a Threat Detection Marketplace. Abbiamo oltre 81.000 elementi di contenuto di rilevamento compatibili con la maggior parte delle piattaforme SIEM, EDR, NTDR e SOAR. Ispirato a creare le tue regole Sigma e contribuire alle iniziative di threat hunting? Unisciti al nostro Threat Bounty Program per un futuro più sicuro!
