Novo Modelo FatalRAT: Hackers do Purple Fox Estão Aumentando Sua Infraestrutura de Botnet
Índice:
Malware Purple Fox está causando todo tipo de estragos em computadores pessoais desde 2018, infectando mais de 30.000 máquinas globalmente. Os últimos estudos descobriram que hackers do Purple Fox continuam melhorando sua infraestrutura e adicionando novos backdoors.
Para expandir a escala do botnet, o Purple Fox está espalhando instaladores trojanizados que se disfarçam como pacotes de software legítimos. O fator preocupante é que os atacantes desenvolveram um novo vetor de chegada potencializado por carregadores de acesso antecipado.
O malware atualizado FatalRAT é uma nova variante de um trojan de acesso remoto com um arsenal de rootkits assinados para evasão de antivírus.
Detecção FatalRAT
Nosso mais novo Sigma– baseado em detecção por Nattatorn Chuensangarun detecta o comportamento do FatalRat reestruturado pelos operadores do malware Purple Fox para contornar o software de segurança.
A regra está alinhada com a última versão do framework MITRE ATT&CK® v.10, abordando as técnicas de Descoberta de Processo (T1057), Interpretador de Comando e Script (T1059), e Injeção de Processo (T1055).
Outra regra Sigma criada pelo nosso prolífico desenvolvedor do Threat Bounty Emir Erdogan detecta comportamentos de registro do FatalRat.
Possível Comportamento do FatalRAT (via reg.exe)
A regra aborda as técnicas de Modificar Registro (T1112) e Arquivos ou Informações Ofuscadas (T1027) do MITRE ATT&CK®.
Você pode acessar imediatamente uma lista de todo o conteúdo de detecção disponível atualmente para identificar possíveis ataques de uma nova variante do FatalRAT clicando em Ver Detecções e fazendo login na sua plataforma SOC Prime conta. E se você é um pesquisador de segurança ou engenheiro, pode compartilhar sua experiência contribuindo para o nosso programa Threat Bounty.
Ver Detecções Adira Threat Bounty
Análise FatalRAT
Os carregadores de primeira etapa do FatalRAT estão escondidos dentro de pacotes de software que se assemelham a carregadores de aplicativos como Telegram, Chrome, Adobe e WhatsApp. Um caractere no final do nome de um arquivo executável corresponde a um payload específico. Um pedido para o payload de segunda etapa vem desse único caractere e está sendo enviado pelo primeiro EXE para um servidor C&C.
Semelhante às suas campanhas anteriores, Purple Fox usa servidores de arquivos HTTP (HFS) para operar servidores C&C, hospedando arquivos para as máquinas infectadas que funcionam como seus bots. Um dos servidores HFS expostos foi analisado por pesquisadores e mostrou uma alta frequência de atualização de pacotes de software. Aproximadamente a cada nove dias, cerca de 25 pacotes estão sendo atualizados. Em março de 2022, esse processo ainda está em andamento.
FatalRAT é um implante baseado em C++ que oferece ampla funcionalidade de acesso remoto para atacantes. Ele pode baixar e executar módulos adicionais de diferentes tipos, dependendo dos resultados da análise do sistema infectado e dos objetivos específicos do botnet. A execução do FatalRAT é ajustada se o malware encontrar chaves de registro ou agentes antivírus.
A evasão de antivírus também inclui o uso de módulos executáveis portáteis (PE) com uma ampla gama de capacidades. Por exemplo, um dos últimos clusters de FatalRAT está ligado a famílias de malware mais antigas, como um instalador MSI do Purple Fox previamente documentado. Além disso, ele mostra uma variedade de capacidades de rootkit em módulos PE adicionais, a habilidade de analisar vários endereços de APIs do sistema e resolver diferentes APIs do sistema a partir de payloads anteriores.
A última atividade do Purple Fox pode requerer atenção especial das equipes SOC devido à funcionalidade estendida do FatalRAT. Seu carregador de shellcode em modo de usuário personalizado não depende do carregador nativo enquanto minimiza as evidências forenses que deixa após a execução. E devido à pouca evidência, torna-se especialmente desafiador rastrear a atividade em curso do FatalRAT. Além disso, o malware abusa de certificados de assinatura de código legítimos e drivers de kernel do Windows sem proteção. Aproveite os benefícios da plataforma Detecção como Código da SOC Prime para garantir que sua equipe SOC possa implementar o conteúdo de detecção mais recente no menor tempo possível.
