Der AZORult-Trojaner in gezielten Angriffen eingesetzt

[post-views]
Oktober 07, 2020 · 2 min zu lesen
Der AZORult-Trojaner in gezielten Angriffen eingesetzt

In der vergangenen Woche veröffentlichten Forscher bei Zscaler ThreatLabZ einen Bericht über eine massive Kampagne, die auf die Lieferkette und den Regierungssektor im Nahen Osten abzielt. Cyberkriminelle versendeten Phishing-E-Mails, die vorgeben, von Mitarbeitern der Abu Dhabi National Oil Company (ADNOC) zu stammen, und infizierten die Ziele mit dem AZORult-Trojaner.

Kampagne Gezielt auf Organisationen im Nahen Osten

Die Angreifer sahen eine Gelegenheit, gekündigte Verträge durch ADNOC im April als Vorwand zu nutzen, während die Verhandlungen aktiv sind und neue Verträge abgeschlossen werden.

Die Kampagne begann im Juli, und mehrere Organisationen, die mit der Lieferkette im Öl- und Gassektor verbunden sind, erhielten Phishing-E-Mails mit seriös aussehenden PDF-Dateien, die Links zu legitimen Dateifreigabediensten enthielten, welche schädliche ZIP-Archive hosteten. Das Archiv enthält einen Dropper, der den AZORult-Trojaner auf dem Zielrechner herunterlädt und einsetzt.

AZORult ist eine kommerzielle Malware, die seit mehr als 4 Jahren bekannt ist, daher ist es schwierig, diese Kampagne bekannten Bedrohungsakteuren zuzuordnen. Der Trojaner hat Infostealer-Funktionalitäten und die Fähigkeit, zusätzliche Werkzeuge zu installieren sowie ein verstecktes Administratorkonto zu erstellen, das RDP-Verbindungen zum infizierten System erlaubt.

AZORult-Trojaner-Erkennung

Neue Community-Bedrohungsjagd Sigma-Regel veröffentlicht von Osman Demir ermöglicht Sicherheitssystemen, Spuren des während der gezielten Kampagne eingesetzten AZORult-Trojaners zu finden: https://tdm.socprime.com/tdm/info/haGwuszBAOO8/szlv_XQBR-lx4sDx1j_Y/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Taktiken: Verteidigungsausweichen, Persistenz

Techniken: Indikatoren-Entfernung auf dem Host (T1070), Registrierungsausführungsschlüssel / Startordner (T1060)

Finden Sie mehr Erkennungsinhalte, um AZORult-Malware und zugehörige Dropper zu entdecken, bei Threat Detection Marketplace.

Bereit, SOC Prime TDM auszuprobieren? Kostenlos registrieren. Oder Treten Sie dem Threat Bounty Programm bei um Ihre eigenen Inhalte zu erstellen und sie mit der TDM-Community zu teilen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen 4 min zu lesen Neueste Bedrohungen XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen by Veronika Telychko CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen 4 min zu lesen Neueste Bedrohungen CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen by Veronika Telychko Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten 4 min zu lesen Neueste Bedrohungen Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten by Veronika Telychko
Alle Nachrichten