MULTI#STORM Angriffserkennung: Eine neue Phishing-Kampagne, die mehrere Remote Access Trojans verbreitet und auf die USA und Indien abzielt
Inhaltsverzeichnis:
Cybersicherheitsforscher warnen Verteidiger vor einer weiteren Phishing-Kampagne namens MULTI#STORM, bei der Hacker JavaScript-Dateien missbrauchen, um RAT-Malware auf die Zielsysteme zu bringen. Die Angriffskette von MULTI#STORM enthält mehrere Stufen, wobei die letzte die Verbreitung Quasar RAT and Warzone RAT Proben beinhaltet. Laut der Untersuchung haben es die Bedrohungsakteure in dieser Kampagne auf die USA und Indien abgesehen.
MULTI#STORM-Angriffserkennung
Die SOC Prime Platform für kollektive Cyberabwehr ermöglicht es Organisationen, ihre Cyberresilienz durch kosteneffiziente und hochmoderne Lösungen zu steigern, die auf Sigma und MITRE ATT&CK Technologien basieren. Um Cyberverteidiger mit verhaltensbasiertem SOC-Inhalt zur MULTI#STORM-Angriffserkennung zu unterstützen, kuratiert die SOC Prime Platform eine Reihe relevanter Sigma-Regeln, die auf ATT&CK abgebildet und mit marktführenden SIEM EDR-, XDR- und Data Lake-Technologien kompatibel sind.
Klicken Sie auf die Schaltfläche Erkennungsergebnisse durchsuchen unten, um zur umfassenden Liste der Sigma-Regeln zu gelangen, um die neuartige MULTI#STORM-Kampagne zu erkennen und potenzielle Spuren von RAT-Malware in der Infrastruktur der Organisation rechtzeitig zu identifizieren. Alle Erkennungsalgorithmen sind mit relevanten Metadaten angereichert, wie ATT&CK- und CTI-Links, Minderungsmaßnahmen und entsprechenden Binärdateien.
Erkennungsergebnisse durchsuchen
Analyse des MULTI#STORM-Phishing-Angriffs
Cybersicherheitsforscher bei Securonix Threat Labs haben eine neuartige Phishing-Kampagne namens MULTI#STORM aufgedeckt, die hauptsächlich auf einzelne Benutzer in den USA und Indien abzielt. Die Infektionskette beginnt mit dem Klicken auf einen eingebetteten Link, der zu einer passwortgeschützten ZIP-Datei auf Microsoft OneDrive führt. Diese enthält eine verschleierte Javascript-Datei, die, sobald sie doppelt angeklickt wird, die Infektion weiter verbreitet, indem sie den auf Python basierenden Loader nutzt, der ähnliche Fähigkeiten und Angreifer-TTPs wie die DBatLoader-Malware anwendet. Der in der Anfangsphase der MULTI#STORM-Kampagne verwendete Loader ist dafür verantwortlich, eine Reihe von RAT-Malware-Proben auf den betroffenen Systemen zu verbreiten und eine Reihe fortschrittlicher Techniken anzuwenden, um Persistenz zu wahren und Erkennung zu verhindern.
Bedrohungsakteure lassen zuerst den berüchtigten Trojaner namens Warzone RATfallen, der in der Lage ist, verschlüsselte C2-Kommunikation aufrechtzuerhalten, Persistenz zu gewährleisten und Passwörter wiederherzustellen, während er auch eine Reihe von Techniken des Gegners für die Erkennungsvermeidung anwendet, wie die Umgehungsfunktion von Windows Defender. Warzone RAT wird von Hackern verwendet, um sensible Daten zu stehlen, wie Cookies und Anmeldedaten von beliebten Webbrowsern.
Forscher beobachteten auch die bösartigen Spuren einer anderen Nutzlast namens Quasar RAT hinter der Ausführung von Warzone RAT in der MULTI#STORM-Operation. Bedrohungsakteure verwendeten einen anderen Port für die Kommunikation nach erfolgreicher Ausführung von Quasar RAT.
Als potenzielle Minderungsmaßnahmen empfehlen Cyberverteidiger, die Nutzung von OneDrive-Links kontinuierlich zu überwachen, das Öffnen von verdächtigen E-Mail-Anhängen, insbesondere ZIP-Dateien, zu vermeiden und die Ausführung unbekannter Binärdateien durch Richtlinienaktualisierungen zu beschränken sowie bewährte Sicherheitspraktiken für den Schutz der E-Mail-Sicherheit zu befolgen.
MITRE ATT&CK-Kontext
Alle oben genannten Sigma-Regeln sind mit ATT&CK markiert und bieten tiefgehende kontextuelle Informationen sowie relevante Taktiken und Techniken, die mit der MULTI#STORM-Kampagne verbunden sind.
Tactics | Techniques | Sigma Rule |
Execution | Command and Scripting Interpreter (T1059) | |
Windows Management Instrumentation (T1047) | ||
Persistence | Boot or Logon Autostart Execution (T1547) | |
Defense Evasion | Abuse Elevation Control Mechanism (T1548) | |
Virtualization/Sandbox Evasion (T1497) | ||
Hide Artifacts (T1564) | ||
Impair Defenses (T1562) | ||
Masquerading (T1036) | ||
Credential Access | OS Credential Dumping (T1003) | |
Discovery | Remote System Discovery (T1018) | |
Command and Control | Application Layer Protocol (T1071) | |
Ingress Tool Transfer (T1105) |
Melden Sie sich bei der SOC Prime Platform an , um sich mit fortschrittlichen Cyberabwehrwerkzeugen auszustatten, die Ihren aktuellen Sicherheitsanforderungen entsprechen. Erkunden Sie das weltweit größte Repository mit über 10.000 Sigma-Regeln, um aufkommende Bedrohungen proaktiv zu erkennen; verlassen Sie sich auf Uncoder AI, um Ihr Detection Engineering mit Sigma & ATT&CK-Autovervollständigung zu verbessern, sofortige bidirektionale Abfrageübersetzung in über 28 Sprachformate zu erhalten und tiefgehenden Cybersicherheitskontext unterstützt von ChatGPT und kollektiver Intelligenz zu nutzen; oder nutzen Sie Attack Detective, um den gesamten Erkennungsstapel in weniger als 300 Sekunden zu validieren, Cyberabwehrlücken zu identifizieren und effektiv zu schließen, um Ihre Cybersicherheitslage wasserdicht zu machen. Möchten Sie mit den neuesten Nachrichten Schritt halten? Treten Sie unserer Open-Source-Cyberverteidiger-Community bei discord.gg/socprime.
