Sumário executivo

• A principal plataforma de monitoramento de risco digital da CloudSEK, xVigil, descobriu uma postagem, em um fórum de crimes cibernéticos, anunciando o VenomRat.
• O VenomRAT é uma ferramenta de acesso remoto descoberta em 2020 e é usada por agentes de ameaças para controlar remotamente os sistemas infectados.

CategoriaInteligência do adversárioIndústrias afetadasMúltiploRegião afetadaGlobalFonte*C2TOP #GreenReference* https://en.wikipedia.org/wiki/Intelligence_source_and_information_reliability #https://en.wikipedia.org/wiki/Traffic_Light_Protocol [caption id="attachment_18224" align="aligncenter” width="1090"] VenomRat - Postagem do ator de ameaças no fórum de crimes cibernéticos [/caption]

Análise e atribuição

Informações do Post

O agente da ameaça listou duas versões do RAT, a segunda versão do RAT inclui HVNC (Conexão de Rede Virtual Oculta).

1. As características do RAT incluem:

• Conecte-se com o sistema remotamente.
• Obtenha as informações do sistema
• Shell remoto
• Conexão TCP
• Proxy reverso
• Editor de registro
• Exploração do UAC (Controle de Acesso do Usuário)
• Desativar o WD (Windows Defender)
• Formatar todos os drivers
• Alterar nome do cliente
• Ativar instalação
• Anti morte
• Ocultar arquivo
• Ocultar pasta
• Persistir no sistema como inicialização/persistência
• Alterar nome do registro
• Conexão criptografada
• Ativar keylogger Offline/Online

2. VenomRat com HVNC

• Características do HVNC, incluindo todas as características do Venom RAT
• Perfil de clone HVNC
• Área de trabalho oculta
• Navegadores ocultos
• Suporte WebGL
• Chrome oculto, Firefox, Edge, Brave
• Explorador oculto
• Powershell oculto
• Inicialização oculta
• Conexão reversa
• Download e execução remotos

Esse RAT foi descoberto em 2020 e, com base em pesquisas de código aberto, foi construído sobre o QuasarRAT, que é uma ferramenta legítima de código aberto usada como ferramenta de acesso remoto.

Classificação da fonte

• O ator da ameaça ingressou em outubro de 2021 e tem um depósito no fórum 0.010092 BTC.
• A principal atividade do ator da ameaça está relacionada à publicidade do VenomRat.

Portanto,

• A confiabilidade do ator pode ser classificada como razoavelmente confiável (C).
• A credibilidade do anúncio pode ser avaliada Provavelmente verdadeira (2).
• Dando credibilidade geral à fonte de C2.

Impacto e mitigação

Mitigação de impacto

• Esse tipo de malware dá aos atacantes a capacidade de controlar a máquina da vítima e causar estragos no sistema.

• Evite baixar documentos suspeitos de fontes desconhecidas.
• Evite clicar em links suspeitos.
• Permita a visibilidade das extensões de arquivos e fique de olho nas extensões dos arquivos.
• Atualize o sistema e todos os aplicativos com os patches e atualizações mais recentes.
• Garanta o uso do MFA.
• Use ferramentas atualizadas de antivírus e detecção de anomalias.
• Use soluções EDR atualizadas que ajudem no monitoramento da rede.