Actor240524 Angriffserkennung: Neue APT-Gruppe zielt mit ABCloader- und ABCsync-Malware auf israelische und aserbaidschanische Diplomaten ab
Inhaltsverzeichnis:
Verteidiger haben eine neuartige APT-Gruppe namens Actor240524 entdeckt, die ein fortgeschrittenes Gegner-Toolkit einsetzt, um Erkennung zu vermeiden und Persistenz zu erlangen. Ende Juli 2024 führten die Angreifer eine Spear-Phishing-Kampagne gegen Diplomaten aus Aserbaidschan und Israel durch. Die Angreifer nutzten ein bösartiges Word-Dokument mit Inhalten in Aserbaidschanisch, das als offizielle Dokumentation getarnt wurde, um sensible Daten von den Zielbenutzern zu stehlen.
Erkennung der bösartigen Aktivität von Actor240524
Der anhaltende Anstieg von Phishing- Angriffen gegen Organisationen in verschiedenen Industriesektoren bleibt eine bedeutende Hürde für Cyberverteidiger. Der Einsatz von KI-Technologien zu offensiven Zwecken hat zu dieser Herausforderung beigetragen und zu einem erschreckenden 856% Anstieg an bösartigen E-Mails im Jahr 2024 geführt und das Problem verschärft. Die SOC Prime Plattform für kollektive Cyberverteidigung rüstet Sicherheitsteams mit einer Reihe kuratierter, kontextangereicherter Erkennungsalgorithmen aus, die ihnen helfen, aufkommende Phishing-Angriffe abzuwehren, einschließlich Inhalte, die die jüngste Spear-Phishing-Kampagne der neuen APT-Gruppe, Actor240524, ansprechen.
Klicken Sie auf die Erkunden Sie Erkennungen -Schaltfläche, um relevante Erkennungen zu erreichen, die nach dem benutzerdefinierten Tag „Actor240524“ gefiltert sind. Alle Sigma-Regeln sind mit branchenführenden SIEM-, EDR- und Data-Lake-Technologien kompatibel, im Einklang mit dem MITRE ATT&CK®-Framework, und mit maßgeschneiderten Bedrohungsinformationen angereichert.
Sicherheitsingenieure können auch die gesamte Sammlung von SOC-Inhalten erhalten, um bösartige Aktivitäten im Zusammenhang mit APT-Angriffen zu erkennen, indem sie diesen Linkklicken.
Sicherheitsanalyse von Actor240524
Forscher von NSFOCUS Security Labs haben kürzlich eine neuartige Spear-Phishing-Kampagne gegen israelische und aserbaidschanische Diplomaten identifiziert, bei der Word-Dateien eingesetzt wurden, die als offizielle Dokumente getarnt und mit schädlichem Macro-Code versehen waren. Die Analyse der TTPs der Angreifer ergab keine Verbindung zu bekannten APT-Gruppen, was es Verteidigern ermöglicht, die neuartige Gegneraktivität als Actor240524 zu verfolgen.
Die offensive Kampagne scheint sich auf die kooperative Beziehung zwischen den beiden Nationen zu konzentrieren, indem diplomatisches Personal beider Länder gezielt über einen Phishing-Angriffsvektor attackiert wurde. Die Operation von Actor240524 setzte neu entwickelte Trojaner ein, identifiziert als ABCloader und ABCsync, um sensible Daten zu stehlen, während eine Erkennung vermieden wird.
Die Infektionskette beginnt mit einem waffenfähigen Phishing-Word-Dokument, das verschwommene Bilder enthält. Beim Klicken wird ein Macro-Code ausgelöst, der das eingebettete VBA-Programm nutzt, um die bösartige Nutzlast zu entschlüsseln und an einen bestimmten Pfad zu speichern und den ABCloader auszuführen. Sobald der ABCloader ausgeführt wird, führt er zur Entschlüsselung und Freigabe von drei ausführbaren Dateien und lädt dann eine DLL, die ABCsync-Malware. Letztere verbindet sich mit dem C2-Server, um die entsprechenden Aufgaben auszuführen und die Infektion weiter zu verbreiten.
Die ABCsync-Malware dient als primäre Angriffsnutzlast mit Hauptfunktionen wie der Ausführung von Remote-Shells, der Änderung von Benutzerdaten und dem Diebstahl von Benutzerdateien vom kompromittierten System. Beide Trojaner nutzen persistente Erkennungsausweichtechniken, einschließlich der Verschlüsselung von Schlüsselelementen wie Strings und API-Aufrufen. Zudem überwachen sie aktiv die Prozessumgebung auf Anzeichen von Debugging, wie das BeingDebugged-Feld und NtGlobalFlag, und verwenden NtQueryInformationProcess, um Debugging-Zustände zu erkennen, wodurch sie Analysen durch Antimalware wirksam entgegenwirken.
Actor240524 nutzt einen mehrstufigen Angriff mit einem Satz offensiver Werkzeuge, einschließlich synchronize.exe, einem Loader ähnlich dem ABCloader, der sich selbst entschlüsselt, um Persistenz zu bewahren. Die Dateien vcruntime190.dll and vcruntime220.dll kapern legitime Systemkomponenten, um synchronize.exeauszuführen, wodurch die anhaltende Präsenz des Loaders im System sichergestellt wird.
Das Auftreten fortschrittlicher Hackergruppen wie Actor240524, die mit vielseitigen offensiven Werkzeugen experimentieren, um Persistenz zu bewahren und Fernsteuerung zu ermöglichen, unterstreicht die Notwendigkeit, die Abwehrfähigkeiten zu stärken. Verlassen Sie sich auf SOC Prime’s Attack Detective , um die SIEM-Position Ihrer Organisation zu verbessern, proaktiv Angriffe von Gegnern abzuwehren, die Ihr Unternehmen am meisten herausfordern, einen priorisierten Erkennungsstapel für hochqualitative Alarmierung zu erhalten und die Bedrohungsjagd zu automatisieren.
