JSOutProx RAT

[post-views]
September 01, 2020 · 2 min zu lesen
JSOutProx RAT

Letztes Jahr wurde Indien als das am meisten cyber-attackierte Land benannt. Kritische Infrastrukturen in den Öl- und Gasindustrien sowie in den Verteidigungs-, Bank- und Fertigungssektoren werden als die häufigsten Ziele genannt. 

Im April 2020 wurden die Regierungsstellen und eine Reihe von Banken in Indien durch E-Mail-Kampagnen angegriffen, die ein bösartiges JavaScript und eine Java-basierte Hintertür lieferten, die weiter mit dem JsOutProx RAT in Verbindung gebracht wurde.

In ihren bösartigen E-Mails nutzten die Angreifer ein Thema, das für jeden Bankempfänger relevant war, was die E-Mail noch legitimer erscheinen ließ. Aufgrund der Infrastrukturanalyse von bösartigen E-Mails, die in verschiedenen Kampagnen verschickt wurden, führten die Forscher diese zu einem Bedrohungsakteur zurück. 

Die JsOutProx-Analyse zeigte auch, dass das Skript in verschiedenen Umgebungen ausgeführt werden kann. Auch im Vergleich zum vorherigen JsOutProx-Angriff nutzt der Bedrohungsakteur im neuesten Angriff unterschiedliche Einsatzmethoden, einschließlich Webserver-Umgebungen. Das Skript kann eine Reihe von Befehlen von seinem C2-Server empfangen, um das Opfersystem zu manipulieren und das PowerShell-Plugin sowie die Hintertür zu entfernen, einschließlich deren Entfernung von der Opfermaschine. Der jüngste Stempel kann auch seine Ausführung verzögern und führt, nachdem es endlich eingesetzt wurde, die Initialisierungsroutine aus, um sensible Informationen zu sammeln und diese in einer HTTP-POST-Anfrage an seinen Command-and-Control-Server zu senden. 

Ariel Millahuel erstellte eine Community Sigma-Regel zur Erkennung der JSOutProx RAT-Aktivitäten (Sysmon-Erkennung): https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType[]=name&searchSubType=&searchQueryFeatures=false&searchValue=jsoutprox+rat+(sysmon+detection)

 

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Beeinflussung, Verteidigungsausweichen, Persistenz

Techniken: Verschleierte Dateien oder Informationen (T1027), Registrierungsschlüssel / Autostart-Ordner (T1060), Systemabschaltung/Neustart (T1529)


Bereit, SOC Prime TDM auszuprobieren? Melden Sie sich kostenlos an. Oder treten Sie dem Threat Bounty Program bei um eigene Inhalte zu erstellen und mit der TDM-Community zu teilen.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Ausführungstaktik | TA0002
Blog, Neueste Bedrohungen — 6 min zu lesen
Ausführungstaktik | TA0002
Daryna Olyniychuk
PyVil RAT von Evilnum Group
Blog, Neueste Bedrohungen — 2 min zu lesen
PyVil RAT von Evilnum Group
Eugene Tkachenko
Transparent Tribe APT
Blog, Neueste Bedrohungen — 2 min zu lesen
Transparent Tribe APT
Eugene Tkachenko