Detecção de PowerShell RAT: Malware Sob Medida Usado para Espionar Informações Relacionadas à Guerra

Usuários localizados na Alemanha estão sendo vítimas de uma nova campanha de malware projetada para espalhar um trojan de acesso remoto (RAT) personalizado em PowerShell. Os adversários montaram um site fictício para enganar as pessoas, fazendo-as acreditar em um falso boletim que afirma oferecer informações inéditas sobre a situação na Ucrânia. As vítimas são instigadas a baixar um documento que forneceria mais informações sobre o assunto. Este arquivo armado instala um RAT personalizado que permite que os atacantes realizem execução remota de comandos (RCE) em uma máquina comprometida.

Conforme sugerem os dados da pesquisa, no momento, não há evidências suficientes para mostrar quem exatamente é culpado pelos ataques.

Detectar PowerShell RAT

Detecte se seu sistema foi comprometido com PowerShell RAT identificando atividades maliciosas relevantes com uma regra baseada em Sigma desenvolvida por um engenheiro de detecção experiente do Programa de Recompensas de Ameaças. Furkan Celik:

Detectar Tarefas Agendadas Criadas Personalizadas de PowerShell RAT (via segurança)

A detecção está disponível para as 16 plataformas SIEM, EDR & XDR, alinhadas com a última versão v.10 da estrutura MITRE ATT&CK®, abordando a tática de Execução com Tarefa/Trabalho Agendado (T1053) como a técnica principal.

Profissionais estabelecidos em caça e detecção de ameaças são bem-vindos para contribuir com nossa iniciativa global de crowdsourcing. Mantenha a linha de defesa contra ameaças emergentes e monetize suas habilidades cibernéticas avançadas. Junte-se ao Programa de Recompensas por Ameaças da SOC Prime e estabeleça uma renda estável para seu conteúdo de detecção — como regras SIGMA, Yara e Snort.

Ver Detecções Junte-se ao Recompensas por Ameaças

Análise de Malware PowerShell RAT

Malwarebytes pesquisadores expuseram PowerShell RAT, um malware de um provável ator de ameaça apoiado pela Rússia que visa usuários na Alemanha tentando obter inteligência relacionada à guerra sobre a crise ucraniana. Na recente campanha de ataque bem planejada, os adversários montaram um site falso aproveitando um domínio expirado anteriormente usado para fins governamentais do estado de Baden-Württemberg. Visitantes do site enganados foram induzidos a baixar um arquivo ZIP supostamente contendo informações sobre a situação de ameaça na Ucrânia para o segundo trimestre de 2022, com atualizações regulares quando baixado. O que o arquivo oferecido continha era um PowerShell RAT sob medida.

O arquivo ZIP inclui um arquivo CHM com vários arquivos HTML compilados. Ao abri-lo, a vítima vê um aviso de erro falso. Enquanto isso, em segundo plano, o arquivo inicia o PowerShell, que executa um desofuscador Base64 antes de buscar e executar um script malicioso do site falso de Baden-Württemberg. Finalmente, o script solta dois arquivos na máquina comprometida: um arquivo .txt com o RAT escrito em PowerShell e um arquivo .cmd permitindo que o PowerShell o inicie. O RAT busca e carrega arquivos do servidor C&C, carrega e executa um script PowerShell, e executa um comando específico.

Atribuir esses ataques a atores de ameaça patrocinados pela Rússia seria bastante especulativo no momento, mas a motivação dos adversários se encaixa no padrão. 

Ajustar continuamente as defesas para superar os adversários pode parecer desafiador, mas unidos resistimos! Acesse o poder da maior comunidade de defesa cibernética do mundo com mais de 23.000 profissionais de SOC para aumentar suas práticas de segurança com SOC Prime.