ModernLoader Bot-Erkennung: Verbreitet sich durch gefälschte Amazon-Geschenkkarten, kompromittiert Nutzer in Osteuropa
Inhaltsverzeichnis:
Der ModernLoader-Bot, auch bekannt als Avatar-Bot, ist ein .NET-Remote-Access-Trojaner mit der Fähigkeit, Dateien vom C&C-Server herunterzuladen und auszuführen, Systeminformationen zu sammeln und beliebige Anweisungen auszuführen. Mit der durch die Malware bereitgestellten Fernsteuerung nutzen Bedrohungsakteure das kompromittierte Netzwerk zur Ausbreitung eines Botnets.
Die Beweiskette deutet darauf hin, dass diese Angriffe einer neuen Gruppe russischsprachiger Cyberkrimineller zugeschrieben werden können, die Benutzer in Polen, Ungarn, Bulgarien und Russland ins Visier nehmen. Gegner kompromittieren Schwachstellen in WordPress und CPanel und locken Benutzer dazu, bösartige Implantate herunterzuladen, die als Amazon-Geschenkgutscheine getarnt sind.
ModernLoader-Bot erkennen
Um sich proaktiv gegen ModernLoader-RAT zu verteidigen, hat SOC Prime eine einzigartige, kontextreich angereicherte Sigma-Regel entwickelt von dem scharfsinnigen Threat Bounty Program Beitragenden Aykut Gürses:
Geplante Task-Erkennung von ModernLoader-Crypto-Minern und RATs (über cmdline)
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Devo, LimaCharlie, Snowflake, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, AWS OpenSearch, Carbon Black, Securonix und Open Distro.
Die Regel ist mit dem MITRE ATT&CK® Framework v.10 abgestimmt und behandelt die Taktik der Ausführung mit Geplante Task/Job (T1053) als primäre Technik.
Aufstrebende Sicherheitsprofis, die sich mit den neuesten Trends in der aktuellen Cyberbedrohungslandschaft vertraut machen wollen, profitieren von der branchenweit ersten Cyber Threats Search Engine. Drücken Sie den Threat Context erkunden Button, um sofort die Pool der wichtigsten RAT-bezogenen Bedrohungen und neu veröffentlichten Erkennungsalgorithmen zu navigieren, um relevante Kontextinformationen an einem Ort zu erkunden. Sowohl aufstrebende als auch erfahrene Sicherheitsprofis, die sich mit den neuesten Trends in der aktuellen Cyberbedrohungslandschaft auf dem Laufenden halten möchten, profitieren davon, dass die umfangreiche Inhaltsbibliothek ständig mit geprüften Inhalten aktualisiert wird, die jetzt mehr als 200.000 kontextreiche Erkennungen umfasst. Erkunden Sie verfügbare Abonnementpläne, indem Sie den Wählen Sie einen Plan Button drücken. Bleiben Sie dem Gegner ohne Mühe einen Schritt voraus!
Erkennungen erkunden Wählen Sie einen Plan
ModernLoader-Verteilungskampagne
Cisco Talos Forschungsteam entdeckte eine Welle von Malware-Verteilung im Zeitraum von März bis Juni 2022. Basierend auf beobachteten Angriffen und Nachrichtenberichten können drei Malware-Verteilungskampagnen herausgearbeitet werden, die ModernLoader RAT, RedLine Infostealer-Malware und Kryptowährungs-Minerverbreiten. Die Angreifer nutzen PowerShell, .NET-Assemblies sowie HTA- und VBS-Dateien, um sich lateral über die kompromittierten Netzwerke zu bewegen und zusätzliche bösartige Payloads abzulegen. Diese Angriffe setzen globale Organisationen in verschiedenen Industriesektoren erheblichen Risiken aus.
Der Bedrohungsakteur hinter den aufgelisteten Kampagnen verwendet gebrauchsfertige Werkzeuge; Forscher betrachten dies als Indikator für das fehlende technische Geschick des kriminellen Akteurs, eigene Werkzeuge zu entwickeln.
Im Jahr 2022 wird erwartet, dass die Anzahl der Cyberangriffe weltweit die Rekorde der Vorjahre übertrifft. Wir verwenden das Follow the Sun (FTS) Modell, um eine rechtzeitige Reaktion auf Bedrohungen zu gewährleisten, ermöglicht durch Branchenführer aus verschiedenen Zeitzonen, damit unsere Kunden mithilfe des innovativen Detection as Code Ansatzes die besten Ergebnisse erzielen können. Bleiben Sie den Gegnern voraus mit umfassenden Lösungen, die von Branchenführern von SOC Prime.
