Orcus RAT e Revenge RAT, codice aperto e feature anti-analysis

29/08/2019

malspam malware orcus rat revenge

Orcus RAT e RevengeRAT sono due popolari RAT. RevengeRAT, che ha fatto la sua prima comparsa nel 2016, è stato usato per attaccare organizzazioni e individui in tutto il mondo. Come spesso accade, il codice sorgente di RevengeRAT è stato precedentemente rilasciato al pubblico consentendo agli aggressori di sfruttarlo liberamente.  Orcus RAT, invece, ha iniziato a far parlare di se all’inizio di quest’anno a causa dell’attività di contrasto canadese nei confronti del soggetto ritenuto autore del malware.

I ricercatori di Cisco Talos hanno recentemente scoperto che sia RevengeRAT che Orcus RAT sono stati sfruttati in varie campagne di distribuzione di malware destinate a organizzazioni tra cui enti governativi, organizzazioni di servizi finanziari, fornitori di servizi di tecnologia dell’informazione e consulenze. Diverse le tecniche utilizzate per veicolare il malware:

  • persistenza associata a malware “senza file”
  • offuscamento progettato per mascherare l’infrastruttura C2
  • evasione progettata per aggirare l’analisi delle sandbox.

Le caratteristiche associate a queste campagne si sono evolute nel tempo, dimostrando che l’attaccante cambia costantemente le proprie tattiche nel tentativo di massimizzare la propria capacità di infettare i sistemi aziendali e lavorare per raggiungere i propri obiettivi a lungo termine.

Modalità di diffusione

Sono stati osservati diversi di modi di veicolare il malware nel tempo, in generale, le e-mail risultano quasi sempre associate a reclami contro l’organizzazione target.

Di seguito un esempio di mail sfruttata per le campagne RAT:

 

Il link ridireziona la vittima ad una URL ospitata su un server controllato dagli aggressori propone in download un archivio ZIP contenente il file PE dannoso utilizzato per infettare il sistema. Di seguito, è possibile osservare uno screenshot relativo al traffico HTTP responsabile del recupero e della prosecuzione del processo di infezione.

 

All’interno dell’archivio ZIP è presente quindi un eseguibile PE32 con doppia estensione (478768766.pdf.exe) che per impostazione predefinita sul sistema operativo Windows verrà visualizzata solo la prima estensione (.PDF). Al fine di rendere ancora più credibile la campagna, al file malevolo è stata associata una icona di Adobe Acrobat.

In altri casi sono stati osservati archivi ZIP allegati contenenti file batch dannosi responsabili del recupero del file PE32 dannoso e della sua esecuzione. Interessante da notare sui file batch una tecnica di offuscamento non del tutto comune, in ogni caso non nuova. Nelle prime campagne, l’attaccante ha anteposto i byte “FF FE 26 63 6C 73 0D 0A” nel file, facendo sì che vari parser di file interpretassero il contenuto del file come UTF-16 LE, in modo che non riuscissero a visualizzare correttamente il contenuto del file batch.

 

Modalità di contatto dei Server C&C

Come nel caso di molti RAT, l’infrastruttura C2 sfrutta il Dynamic Domain Name System (DDNS) nel tentativo di offuscare la reale l’infrastruttura dell’attaccante. Nel caso di queste campagne malware, l’attaccante ha compiuto un ulteriore passo. Hanno indicato il DDNS verso il servizio Portmap per fornire un ulteriore livello di offuscamento.

Portmap è un servizio progettato per facilitare la connettività esterna ai sistemi che si trovano dietro i firewall o altrimenti non direttamente esposti a Internet. Questi sistemi avviano una connessione OpenVPN al servizio Portmap, che è responsabile della gestione delle richieste a tali sistemi tramite il mapping delle porte.

Conclusioni

Anche se non è stato ancora registrato un forte impatto in Italia, il Cert-PA raccomanda in ogni caso di verificare attentamente la provenienza delle email prima di cliccare su link interni o aprire gli allegati.