Quasar RAT: Detectando Sucessores Maliciosos
Índice:
A ferramenta de administração remota Quasar (RAT) é um malware multifuncional e leve usado ativamente por atores APT desde 2014. O código do Quasar está publicamente disponível como um projeto de código aberto, o que torna o Trojan extremamente popular entre adversários devido às suas amplas opções de personalização. Como resultado, existe uma variedade de amostras dentro da família de malware Quasar. Muitos deles foram usados por atores respaldados por nações em suas campanhas maliciosas. A operação notória mais recente visando a infecção por Quasar foi lançada pelo APT10.
Descrição do Quasar RAT
Quasar é uma ferramenta de acesso remoto inicialmente desenvolvida como uma utilidade legítima para Windows para suporte ao usuário e monitoramento de funcionários. Na verdade, o desenvolvedor promove Quasar como uma solução de acesso remoto fácil de usar e altamente estável para administradores, que é compatível com a maioria das versões do Windows. A primeira variante desta ferramenta foi lançada em julho de 2014 e denominada “xRAT”, entretanto, em 2015 foi renomeada como Quasar, presumivelmente na tentativa de distinguir o software legítimo de seus irmãos maliciosos.
Após a ferramenta ser lançada no GitHub para download gratuito em 2015, atores de ameaças voltaram sua atenção para esta solução multifuncional e personalizável. Por exemplo, em 2017, o grupo Gaza Cybergang utilizou o Quasar RAT para atacar governos em todo o Oriente Médio. Em 2018, foi utilizado pelo Patchwork APT para atacar os think tanks dos EUA. Em 2019, o malware foi detectado em uma campanha maliciosa sofisticada contra o governo da Ucrânia e suas forças militares. Finalmente, no final de 2020, pesquisadores revelaram uma operação duradoura do ATP10 direcionada a empresas líderes de mercado no Japão. Notavelmente, o grupo APT10 patrocinado pelo estado chinês (Cicada, Stone Panda) adicionou o Quasar ao seu conjunto de ferramentas já em 2016, usando permanentemente suas versões personalizadas para roubar dados.
A campanha mais recente do APT10 usou o Quasar RAT para atacar grandes fornecedores automotivos, farmacêuticos e de engenharia no Japão. As subsidiárias localizadas em 17 regiões ao redor do mundo também estavam sob ataque visando fins de reconhecimento. Os atores de ameaças usaram uma versão personalizada da ameaça, que difere ligeiramente de sua predecessora. Particularmente, os adversários adicionaram a habilidade de baixar módulos de plugins adicionais, o que torna o malware facilmente adaptável para metas em constante mudança. Além disso, as rotinas de comunicação e criptografia foram alteradas.
Quasar RAT: Cadeia de Ataque
Como o Quasar RAT é amplamente adotado por diferentes hackers, desde script-kiddies até APTs, muitas de suas versões personalizadas podem ser encontradas no cenário de ameaças cibernéticas. A lista de sucessores inclui CinaRAT, QuasarStrike, VenomRAT, VoidRAT, AsyncRAT e muitos mais. No entanto, a maioria das amostras maliciosas seguem a mesma rotina de ataque.
O Quasar é tipicamente entregue com a ajuda de emails de spam ou phishing que possuem arquivos maliciosos anexados. Tal abordagem é razoável, pois o Quasar não inclui quaisquer exploits de vulnerabilidades. Os hackers precisam aplicar outro malware ou técnicas para comprometer a instância alvo antes de usarem o Quasar.
Após a execução, o Quasar RAT alcança persistência usando dois métodos: tarefas agendadas e chaves de registro. Além disso, o Trojan eleva seus privilégios lançando um prompt de comando (cmd.exe) como administrador. Caso o Controle de Conta do Usuário do Windows (UAC) esteja configurado, o malware aciona um pop-up do UAC pedindo às vítimas para aceitar o prompt de comando. Finalmente, o Quasar RAT inicia suas atividades de roubo de dados. O Trojan tem uma funcionalidade bastante ampla que inclui gerenciamento de tarefas e arquivos, download de arquivos, encerramento de conexões, finalização de processos, execução de comandos, abertura de conexões de desktop remoto, captura de tela, gravação de webcam, registro de teclas, despejo de senhas e mais.
Detecção do Quasar
Para aprimorar a detecção e defesa proativa contra amostras da família de malware Quasar, nosso desenvolvedor do Threat Bounty Osman Demir lançou uma regra Sigma dedicada:
https://tdm.socprime.com/tdm/info/WWXWHb1OJ3yt/Eb9NTncBR-lx4sDxFU7L/#rule-context
A regra possui tradução para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Táticas: Execução, Persistência, Escalada de Privilégio
Técnicas: Tarefa Agendada (T1053)
Obtenha uma assinatura para o Threat Detection Marketplace para reduzir o tempo de detecção de ataques cibernéticos com nossa biblioteca de conteúdo de SOC com mais de 90.000 itens. A base de conteúdo é enriquecida todos os dias para detectar as ameaças cibernéticas mais alarmantes nos estágios mais iniciais do ciclo de vida do ataque. Tem o desejo de criar seu próprio conteúdo personalizado? Junte-se à nossa comunidade Threat Bounty para um futuro mais seguro!
