Erkennungsinhalt: Arkei Stealer

Arkei Stealer ist eine Variante der Infostealer-Malware und seine Funktionalität ähnelt der Azorult-Malware: Er stiehlt sensible Informationen, Anmeldeinformationen und private Schlüssel zu Kryptowährungs-Wallets. Die Malware wird in Untergrundforen verkauft, und jeder kann sowohl die „legitime“ Version als auch die geknackte Version des Arkei Stealers erwerben und verwenden, was es schwierig macht, Angriffe zuzuordnen. 

Der lauteste Cyberangriff mit diesem Infostealer kann als das Hacking des GitHub-Kontos eines Entwicklers der Syscoin-Kryptowährung und der Kompromittierung des offiziellen Projekt-Repositorys im Jahr 2018 betrachtet werden, als die Angreifer den offiziellen Windows-Client, der auf GitHub veröffentlicht wurde, durch eine bösartige Version mit dem eingebauten Arkei Stealer ersetzten, die mehrere Tage unbemerkt blieb. Im Jahr 2019 wurde diese Malware aktiv über Botnetze verbreitet, und kürzlich wurde berichtet, dass das Spamhaus Botnet weiterhin die neuesten Versionen des Infostealers verteilt.

Neue Proben erscheinen regelmäßig, und basierend auf dem kürzlich entdeckten Stück Malware entwickelte der Teilnehmer am Threat Bounty Program Lee Archinal Erkennungsinhalte zur Aufdeckung der Bedrohung auf Windows-Systemen: https://tdm.socprime.com/tdm/info/7uHa99YPouCi/3Oz7uHMBQAH5UgbBuMmh/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Ausführung, Credential Access, Erkennung

Techniken: Befehlszeilenschnittstelle (T1059), Anmeldeinformationsspeicherung (T1003), Registrierungsabfrage (T1012)

Bereit, SOC Prime TDM auszuprobieren? Kostenlos registrieren. Oder am Threat Bounty Program teilnehmen um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.