Detecção do NonEuclid RAT: Malware Permite que Adversários Obtenham Acesso Remoto e Controle Não Autorizados sobre um Sistema Alvo
Índice:
O cenário moderno de ameaças cibernéticas é marcado pelo aumento de variantes de malware que dão aos invasores a luz verde para obter controle remoto completo sobre sistemas alvo, como um nefário Remcos RAT disseminado através de um vetor de phishing . No início de janeiro de 2025, defensores revelaram um malware emergente furtivo batizado de NonEuclid RAT, que é enriquecido com sofisticadas capacidades ofensivas, como técnicas avançadas de evasão de detecção, escalonamento de privilégios e criptografia de ransomware.
Detectar Ataques NonEuclid RAT
No último ano, pesquisadores de cibersegurança registraram um aumento de 30% no volume global de malware em comparação com 2023, destacando uma escalada persistente na atividade maliciosa em todo o mundo. Este aumento sublinha a crescente sofisticação das ameaças cibernéticas e os desafios crescentes enfrentados pelas equipes de segurança.
Para combater de forma eficaz as ameaças emergentes, os defensores cibernéticos precisam de acesso a regras de detecção enriquecidas com CTI que forneçam insights em tempo real sobre padrões de ataque em evolução. Confie na SOC Prime Platform para defesa cibernética coletiva e equipe sua equipe com conteúdo de detecção curado sobre ameaças emergentes, como o NonEuclid RAT, apoiado por um conjunto completo de produtos para detecção e caça avançada de ameaças.
Clique no botão Explorar Detecções abaixo e imediatamente investigue um conjunto de regras Sigma que abordam ataques NonEuclid RAT. Todas as regras são mapeadas para o framework MITRE ATT&CK e são compatíveis com mais de 30 soluções SIEM, EDR e Data Lake. Além disso, as regras são enriquecidas com metadados extensos, incluindo inteligência de ameaças referências, links de mídia, cronogramas de ataque e mais.
Análise NonEuclid RAT
Pesquisadores da CYFIRMA recentemente iluminaram uma ameaça emergente que demonstra um novo nível de complexidade de malware. NonEuclid RAT, um novo malware furtivo baseado em C# construído para o .NET Framework 4.8, é projetado para evitar a detecção enquanto fornece acesso remoto não autorizado ao ambiente da vítima através de recursos avançados, como criptografia de ransomware, escalonamento de privilégios e capacidades aprimoradas de evasão de detecção.
O malware é amplamente promovido em fóruns de hackers e mídias sociais, ganhando atenção por suas capacidades furtivas, carregamento dinâmico de DLL, verificações anti-VM e criptografia AES. O desenvolvedor do malware, conhecido pelo pseudônimo “NAZZED,” tem promovido o NonEuclid desde outubro de 2021. A CYFIRMA observou que o RAT foi amplamente anunciado, vendido e discutido em vários fóruns russos e canais de Discord, destacando sua popularidade em círculos cibercriminosos e seu uso em ataques avançados.
O código do malware inicializa um aplicativo cliente com diversos recursos de segurança, anti-detecção e persistência. Ele começa atrasando a execução e carregando configurações. Se as configurações falharem, ele sai. O app garante privilégios administrativos, realiza varreduras anti-detecção, e previne instâncias duplicadas usando um mutex. Bloqueio anti-processo e logging são ativados, enquanto um socket cliente gerencia a comunicação com o servidor, reconectando-se continuamente se o link cair.
Um socket TCP inicia a conexão, ajustando tamanhos de buffer e tentando alcançar um IP e porta especificados. Uma vez bem-sucedido, ele encapsula o socket em um NetworkStream, define temporizadores para pacotes keep-alive e pong, e começa a leitura assíncrona de dados. Propriedades de conexão como cabeçalhos, compensações e intervalos são configuradas, enquanto uma conexão falha define o status como falso.
O NonEuclid RAT aplica uma ampla gama de ferramentas ofensivas para contornar a detecção, elevar privilégios e estabelecer persistência no computador afetado. O método AntiScan do malware contorna o Windows Defender adicionando exclusões ao registro, impedindo que arquivos como o servidor do malware e executáveis sejam escaneados. O método Block monitora e termina processos como “Taskmgr.exe” e “ProcessHacker.exe” usando chamadas de API do Windows. O malware também cria uma tarefa agendada para executar um comando em intervalos definidos, ocultando a janela de comando. O método Bypass modifica o registro do Windows para contornar restrições, executando um executável secundário se privilégios administrativos forem concedidos. O método HKCU atualiza uma chave de registro sob HKEY_CURRENT_USER com um valor dado.
Quanto às ferramentas de criptografia de ransomware, os atacantes criptografam tipos de arquivos como “.csv”, “.txt” e “.php” usando AES e os renomeiam com a extensão “.NonEuclid.” Após a execução, o NonEuclid solta dois arquivos executáveis em pastas separadas, que são programados para rodar automaticamente através do Task Scheduler. Isso garante persistência, permitindo que o malware continue operando mesmo após o reinício do sistema ou tentativas de terminar o processo.
A crescente popularidade do NonEuclid RAT, impulsionada por discussões focadas em malware em várias plataformas populares, indica um esforço coordenado para expandir seu uso ofensivo, exigindo maior vigilância de especialistas em cibersegurança. Defender-se contra tais ameaças demanda estratégias proativas, monitoramento contínuo e conscientização das táticas cibercriminosas em evolução. SOC Prime Platform para defesa cibernética coletiva fornece às organizações globais tecnologias de ponta para engenharia de detecção avançada, detecção proativa de ameaças e caça automatizada de ameaças para superar ameaças cibernéticas. Ao alavancar o feed de Ameaças Emergentes, as equipes de segurança podem instantaneamente acessar uma fonte centralizada de inteligência de ameaças acionável, regras de detecção relevantes e contexto enriquecido por IA para sempre estar informadas e à frente dos adversários.
