AsyncRAT-Kampagnen verwenden 3LOSH Crypter zur Verschleierung von Payloads
Inhaltsverzeichnis:
Laufende Malware-Verteilungskampagnen verbreiten AsyncRAT, einschließlich des 3LOSH-Crypters in öffentlichen Repositories. Aktuelle Cybersicherheits Forschung analysiert die neueste Version von 3LOSH, die von Gegnern genutzt wird, um der Erkennung auf Geräten in Unternehmensumgebungen zu entgehen. Neben AsyncRAT können auch mehrere andere generische Malware-Stämme vom selben Betreiber verbreitet werden. Das Ziel dieses Anstiegs in der Nutzung von Cryptern ist es, die operationelle Effizienz von RAT zu erhöhen und dadurch sensible Daten zu exfiltrieren.
Sicherheitsanalysten warnen Organisationen, dass Cyberangriffe von verschiedenen Bedrohungsakteuren genutzt werden könnten, während die Komplexität von Tools wie dem 3LOSH-Crypter kontinuierlich aktualisiert und verbessert wird. Sehen Sie sich unsere neuesten Erkennungen unten an, die helfen, die neueste Aktivität des 3LOSH-Crypters zu erkennen.
3LOSH Builder/Crypter Erkennung
Die neuartige Sigma-basierte Erkennungsregel, geschrieben von unserem produktiven Threat Bounty Entwickler Kyaw Pyiyt Htet erkennt mögliche 3LOSH-Ausführungen basierend auf der Verfügbarkeit bestimmter bösartiger Dateien:
Verdächtige 3LOSH (AsyncRAT) RAT-Ausführung durch Erkennung bösartiger Dateien (file_event)
Diese Regel kann automatisch in die folgenden Sicherheitslösungen konvertiert werden: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, AWS OpenSearch.
Die Sigma-Regel ist auf die neueste MITRE ATT&CK®-Version abgebildet und adressiert die Taktik „Ausführung“ und die Technik „Befehl und Skript-Interpreter“ (T1059).
Da AsyncRAT und 3LOSH in ihren älteren Versionen bereits von Bedrohungsinformationsspezialisten entdeckt wurden, können Sie unsere bisherigen Erkennungen nutzen und sehen, ob es noch etwas gibt, das Sie Ihrer Bedrohungsjagdroutine hinzufügen sollten. Wenn Sie einen eigenen exklusiven Ansatz zur Erkennung von Cyberbedrohungen haben und Ihre Expertise mit der Welt teilen möchten, sind Sie herzlich eingeladen, an unserer Crowdsourcing-Initiative teilzunehmen.
Erkennungen ansehen Join Threat Bounty
AsyncRAT Payloads und 3LOSH-Analyse
Ein von AsyncRAT genutzter mehrstufiger Infektionsprozess beginnt mit VBScript-Code, der von einer ISO-Datei ausgeführt wird. Das VBS verwendet Junk-Daten in seinem Inhalt, um den Code zu verschleiern, den es mit Hilfe von Zeichenfolgenersetzungen ausführt. Nach der Entschleierung des Codes kontaktiert dieses VBS einen C&C-Server, um ein PowerShell-Skript abzurufen, das die nächsten Schritte der RAT-Ausführung ermöglicht.
Während dieser Phasen könnte die Malware verschiedene Verzeichnisstandorte auswählen und verschiedene Dateinamen verwenden, die dennoch funktional gleichwertig sind. Letztendlich durchsucht das Skript das System des Opfers und erstellt dann ein Arbeitsverzeichnis für die Malware an einem bestimmten Ort, der etwas Alltäglichem ähnelt, wie C:ProgramDataFacebookSystem32MicrosoftSystemData.
Danach werden zusätzliche Skripte erstellt, die die Ausführung der „Office.vbs“-Datei auslösen und zum nächsten Schritt des Infektionsprozesses übergehen. Die meisten Ziele des RAT werden in dieser dritten Phase ausgeführt. Zum Beispiel erstellt ein weiteres PowerShell-Skript, um Persistenz herzustellen, eine neue geplante Aufgabe mit dem Namen „Office“ und führt sie sofort aus und wiederholt sie alle zwei Minuten. Die endgültige Nutzlast kann variieren, doch die meisten der analysierten Proben waren AsyncRAT und LimeRAT.
Forscher kommen zu dem Schluss, dass 3LOSH-Crypter ein Malware-Crypter ist der sich derzeit in aktiver Entwicklung befindet und in verschiedenen generischen RATs eingebettet verbreitet wird. Daher sollte die effektive Erkennungsstrategie die Fähigkeit beinhalten, den Crypter unabhängig von den endgültigen Nutzlasten zu erkennen. Treten Sie bei SOC Prime’s Detection as Code Plattform, um kontinuierlich über neue Erkennungsinhalte auf dem Laufenden zu bleiben und aktuelle Bedrohungen im Auge zu behalten.
