Malware Warzone RAT Usado pelo grupo APT Confucius em Ataques Direcionados

[post-views]
Janeiro 19, 2021 · 4 min de leitura
Malware Warzone RAT Usado pelo grupo APT Confucius em Ataques Direcionados

Pesquisadores de segurança detectaram uma campanha em andamento do grupo Confucius APT que utiliza o malware Warzone RAT para comprometer seus alvos. Acredita-se que a campanha seja direcionada ao setor governamental da China e de outros países do Sudeste Asiático.

Descrição do Warzone RAT

Warzone remote access Trojan (RAT), um sucessor prolífico do AveMaria stealer, surgiu pela primeira vez em 2018 como uma linhagem de malware-como-serviço (MaaS). Ao longo de 2020, o Warzone foi significativamente aprimorado por seus operadores para aumentar a competitividade no cenário malicioso. Atualmente, o Trojan é vendido por $23-$50, dependendo do período de aluguel que pode variar de um a três meses. Além disso, o Warzone oferece várias opções pagas, incluindo um RAT poison, um Crypter e exploits silenciosos para .DOC e Excel. Ademais, uma versão crackeada do Trojan foi carregada no GitHub, o que amplia a adoção do malware pela comunidade cibercriminosa.

Então, o que é o malware Warzone RAT? O Warzone é um Trojan de acesso remoto completo escrito na linguagem C++ e compatível com a maioria das versões do Windows. De acordo com a análisedos pesquisadores, o Trojan pode fornecer controle remoto total do PC alvo. A lista de capacidades inclui extração automática de senhas dos principais navegadores e clientes de e-mail (Chrome, Firefox, Opera, Internet Explorer, Thunderbird, Foxmail, Outlook e mais). Além disso, o malware pode baixar e executar arquivos no dispositivo comprometido, realizar keylogging e execução de comandos, conectar o módulo da webcam, habilitar proxy reverso e facilitar o shell remoto.

Vale ressaltar que o Warzone RAT é eficaz em evadir a detecção e elevar seus privilégios na máquina comprometida. O malware incorpora um bypass de UAC capaz de superar as restrições padrão do sistema de arquivos no Windows 10. É feito por uso indevido do recurso sdclt.exe dentro da funcionalidade de backup e restauração do sistema. Para versões mais antigas do Windows, o malware aplica um bypass de UAC distinto incluído em sua configuração.

Visão Geral do Ataque

Os pesquisadores da Uptycs analisaram a cadeia de ataque do Warzone utilizada na última campanha do Confucius APT. A intrusão começa com um documento isca chamado “Capacidades de Mísseis de Cruzeiro da China-Implicações para o Exército Indiano.docx”. Tal isca pode chamar a atenção de funcionários dos departamentos governamentais visados, pois descreve as tensões atuais na fronteira entre a Índia e a China. Caso um usuário seja convencido a abrir o documento, ele baixa o próximo estágio do exploit RTF via injeção de template. O exploit, por sua vez, libera a carga final do Warzone RAT via DLL incorporada.

A análise da DLL permitiu que os pesquisadores identificassem três documentos isca adicionais provavelmente direcionados a outros alvos do setor público na região. As iscas estão relacionadas à atividade militar da China no Estreito de Taiwan, às decisões de Joe Biden sobre questões de armas nucleares e à aplicação de emprego na Comissão de Pesquisa Espacial e Atmosfera Superior do Paquistão (SUPARCO). As iscas foram distribuídas desde outubro de 2020, indicando que a campanha dura pelo menos vários meses.

Detecção de Malware Warzone RAT

Para detectar a atividade maliciosa do Warzone RAT, você pode baixar uma nova regra Sigma lançada por nosso desenvolvedor de Threat Bounty Osman Demir:

https://tdm.socprime.com/tdm/info/i17zSMtfKc76/-oy79nYBmo5uvpkjsFUZ/

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness

MITRE ATT&CK:

Táticas: Execução, Persistência

Técnicas: Interface de Linha de Comando (T1059), Chaves de Registro de Execução/Início (T1060)

Caso você não tenha acesso pago ao Threat Detection Marketplace, você pode ativar seu teste gratuito sob uma assinatura comunitária para desbloquear a regra Sigma relacionada ao Trojan de acesso remoto Warzone.

Para acessar mais conteúdo SOC relevante disponível em nossa plataforma gratuitamente, inscreva-se no Threat Detection Marketplace. Temos mais de 81.000 itens de conteúdo de detecção compatíveis com a maioria das plataformas SIEM, EDR, NTDR e SOAR. Inspirado a criar suas próprias regras Sigma e contribuir para as iniciativas de caça às ameaças? Junte-se ao nosso Programa de Incentivo a Ameaças para um futuro mais seguro!

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção do Ransomware Interlock: Alerta Conjunto do FBI e CISA sobre Ataques em Larga Escala com a Técnica ClickFix 5 min de leitura Ameaças Mais Recentes Detecção do Ransomware Interlock: Alerta Conjunto do FBI e CISA sobre Ataques em Larga Escala com a Técnica ClickFix by Veronika Telychko Detecção do ransomware Interlock: cibercriminosos utilizam nova variante de RAT em PHP via FileFix 5 min de leitura Ameaças Mais Recentes Detecção do ransomware Interlock: cibercriminosos utilizam nova variante de RAT em PHP via FileFix by Veronika Telychko Detecção de Atividades do Ransomware BERT: Ataques na Ásia, Europa e EUA Contra Windows e Linux 6 min de leitura Ameaças Mais Recentes Detecção de Atividades do Ransomware BERT: Ataques na Ásia, Europa e EUA Contra Windows e Linux by Veronika Telychko
Todas as notícias