Detecção do VenomRAT: Um Novo Ataque Multiestágio Usando ScrubCrypt para Implantar a Carga Útil Final com Plugins Maliciosos
Índice:
Pesquisadores de cibersegurança revelaram um ataque sofisticado e em várias etapas, no qual os adversários aproveitam a ferramenta de evasão de anti-malware ScrubCrypt para implantar o VenomRAT junto com vários plugins nocivos, incluindo os nefastos Remcos, XWorm, NanoCore RAT, e outras variantes maliciosas.
Detectar VenomRAT Implantado via ScrubCrypt
Com a proliferação de ciberataques e o emprego de métodos de intrusão cada vez mais sofisticados, os defensores cibernéticos necessitam de soluções avançadas para reforçar suas capacidades de defesa em larga escala. A Plataforma SOC Prime para defesa cibernética coletiva oferece tecnologia de ponta para detecção e caça de ameaças, enquanto serve como o maior repositório mundial de detecções baseadas em comportamento contra os TTPs mais recentes.
Para identificar a atividade maliciosa associada à última campanha do ScrubCrypt, os profissionais de segurança podem confiar em um conjunto de detecção disponível na Plataforma SOC Prime. Basta clicar no botão Explorar Deteção abaixo e acessar imediatamente a lista relevante de regras Sigma compatíveis com 28 tecnologias SIEM, EDR e Data Lake. Todas as detecções são mapeadas para o framework MITRE ATT&CK v14.1 e enriquecidas com inteligência de ameaças personalizada.
Além disso, os especialistas em cibersegurança podem explorar um conjunto de conteúdos de detecção abordando os ataques VenomRAT, pesquisando no Marketplace de Detecção de Ameaças com a tag ¨VenomRAT¨ ou usando este link.
Análise do Ataque de Disseminação do VenomRAT via ScrubCrypt
Em 8 de abril de 2024, os pesquisadores do FortiGuard Labs emitiram um relatório esclarecendo sobre uma nova campanha ofensiva avançada lançada através de um vetor de ataque de phishing. Hackers empregam o framework ScrubCrypt para distribuir uma carga útil do VenomRAT juntamente com um conjunto de outros plugins maliciosos utilizando várias camadas de ofuscação e técnicas de evasão.
A cadeia de infecção é iniciada por e-mails de phishing com arquivos SVG nocivos. Clicar em um anexo isca dentro do e-mail leva ao download de um arquivo ZIP com um arquivo Batch ofuscado com a utilidade BatCloak, que os atacantes usam há muito tempo para evadir a detecção. Em seguida, os hackers aplicam o ScrubCrypt para dispersar VenomRAT e mais plugins nocivos nos sistemas comprometidos enquanto estabelecem uma conexão com o servidor C2.
A carga inicial entregue via ScrubCrypt serve a dois principais objetivos: estabelecer persistência e carregar o malware alvo. O VenomRAT, uma iteracão modificada de um nefasto Quasar RAT, foi observado no cenário de ameaças cibernéticas desde 2020. Adversários o aplicam para acessar e controlar ilicitamente os sistemas afetados. Semelhante a outros RATs, o VenomRAT capacita os atacantes a manipular remotamente dispositivos comprometidos, facilitando várias atividades maliciosas sem o conhecimento ou autorização da vítima.
Além do VenomRAT, os hackers espalham NanoCore RAT ao longo das instâncias impactadas usando um arquivo VBS ofuscado. Eles também implantam o XWorm RAT, malware capaz de roubar dados sensíveis ou permitir acesso remoto. O quarto plugin aplicado nesta campanha ofensiva é o notório Remcos RAT, que tem sido ativamente utilizado em campanhas de phishing contra a Ucrânia. Um outro plugin do conjunto de ferramentas do adversário é um stealer, que não é apenas distribuído via o script VBS ofuscado acima mencionado, mas também integrado em um arquivo de execução .NET que é ofuscado usando SmartAssembly. Este plugin inclui um array codificado representando o arquivo DLL malicioso destinado a roubar dados sensíveis do usuário. Este último rastreia continuamente o sistema do usuário e observa carteiras de criptomoedas específicas.
O surgimento de ataques cibernéticos semelhantes sofisticados, nos quais os adversários exibem a capacidade de manter persistência, evadir detecção e implantar cargas úteis diversificadas, alimenta a necessidade crítica de medidas robustas de defesa cibernética para minimizar os riscos de intrusões. Ao aproveitar o Attack Detective da SOC Prime, as organizações podem elevar a defesa cibernética através da validação automática do conjunto de detecção para prevenir ataques antes que ocorram.