O Nanocore RAT tem sido usado em ciberataques por cerca de 7 anos, e há um grande número de modificações desse trojan. Versões oficiais, “semi-oficiais” e crackeadas desse malware são vendidas em fóruns na DarkNet, e às vezes até distribuídas gratuitamente, então não é surpreendente que o número de ataques utilizando-o continue alto. , so it is not surprising that the number of attacks using it remains high.
O design do Nanocore RAT é focado na facilidade de uso, o que significa que até mesmo adversários não qualificados podem conduzir campanhas maliciosas completas. O trojan possui uma ampla gama de capacidades para espionagem e controle remoto do sistema, proporcionando acesso total ao sistema infectado, além de permitir que os adversários gravem áudio e vídeo, realizem keylogging, coletem credenciais e outras informações pessoais.
O NanoCore RAT vem com plugins base que ampliam a capacidade de desempenho do malware e permitem que os atores de ameaça façam praticamente qualquer coisa que desejarem uma vez que obtenham controle completo e anônimo sobre sistemas infectados.
A regra Sigma exclusiva “NanoCore detection” é uma das primeiras contribuições de Aytek Aytemur, que recentemente se juntou ao Programa Threat Bounty: https://tdm.socprime.com/tdm/info/VGdb6whemVdv/3XiVWHQBPeJ4_8xcGSSx/?p=1
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Execução, Persistência, Escalada de Privilégio
Técnicas: Tarefa Agendada (T1053)
Confira mais conteúdo dos desenvolvedores do Programa Threat Bounty para detectar o NanoCore:
Detecção do NanoCore Rat (Persistência via schtasks) por Emir Erdogan
Comportamento do Nanocore (Detecção via Powershell) por Ariel Millahuel
Pronto para experimentar o SOC Prime TDM? Cadastre-se gratuitamente. Ou junte-se ao Programa Threat Bounty para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
