NIGHT SPIDER Zloader-Erkennung: Verteidigung gegen bösartige Trojaner-Aktivitäten mit SOC Prime
Inhaltsverzeichnis:
Der Zloader-Trojaner von NIGHT SPIDER wirkt seit einigen Monaten still und leise im globalen Maßstab und führt eine Einbruchskampagne bei einer Reihe von Unternehmen in verschiedenen Branchen durch.
Der Hauptweg zur Installation von Malware war versteckt in legitimer Software. Um den ersten Zugang zu nutzen, verwendeten Angreifer gebündelte .msi Installer. Die Nutzlasten zielten auf Aufklärung. Trotz der Verwendung bekannter Techniken wurden die genaueren technischen Spezifikationen der bösartigen Skripte erneut überarbeitet. Die Content-Entwickler von SOC Prime haben sofort die neuen Malware-Stämme untersucht entwickelt von NIGHT SPIDER und Erkennungsregeln erstellt, die die Aktivitäten von Angreifern so früh wie möglich identifizieren.
NIGHT SPIDER Zloader-Kampagne
Die neue Sigma-basierte Regel, bereitgestellt von unserem Threat Bounty-Entwickler Sittikorn Sangrattanapitak erkennt verdächtige Night Spider-Aktivitäten bei der Nutzung des adminpriv.exe-Dienstprogramms, das versucht, Registrierungswerte zu manipulieren, was das Verhalten der Gegner während der Zloader-Kampagne im März 2022 war.
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender für Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender für Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
Die Regeln sind mit dem neuesten MITRE ATT&CK®-Framework v.10 abgestimmt und adressieren die Command and Scripting Interpreter-Technik.
Zusätzlich können Sie die vollständige Liste der Regeln zur Erkennung des Zloader-Trojaners einsehen, die derzeit auf der SOC Prime-Plattform verfügbar sind. Fühlen Sie sich kompetent in der Materie? Dann können Sie Ihre eigenen Erkennungsinhalte mit unserer globalen Community von Cyber-Profis im Threat Bounty Program teilen und wiederkehrende Belohnungen für Ihren Beitrag erhalten.
Erkennungen anzeigen Threat Bounty beitreten
NIGHT SPIDER Zloader-Analyse
Laut der CrowdStrike Untersuchung, um NIGHT SPIDERs Zloader-Trojaner auszuführen, geben sich die ersten Malware-Installer als solche aus, die legitime Hashes von weit verbreiteter Software wie Zoom, TeamViewer, JavaPlugin oder Brave Browser verwenden. Sobald sie laufen, laden diese Installer automatisierte Aufklärungslasten über den Zloader-Trojaner herunter und in einigen Fällen auch Cobalt Strike.
PowerShell-Befehle wurden vom Wscript-Dienstprogramm verwendet, um einen Remote-Download der NIGHT SPIDER-Nutzlast zu initiieren. Diese Skripte nutzten auch PowerShell, um Microsofts AntiMalware Scan Interface und Windows Defender zu umgehen. Danach half das Adminpriv-Dienstprogramm den Angreifern, Registrierungswerte zu ändern. Die Nutzlast wurde entschlüsselt durch die Nutzung der Hashwerte der legitimen Software.
Organisationen bemühen sich, den Zloader-Trojaner von NIGHT SPIDER und ähnliche Bedrohungen so früh wie möglich zu erkennen, um erheblichen Schaden an ihren Systemen und Netzwerken zu vermeiden. Die Zusammenarbeit in der Cyber-Verteidigung ist die schnellste und effizienteste Option für SOC-Teams, die über die neuesten Erkennungsinhalte auf dem Laufenden bleiben wollen, ohne zu viel Zeit und Ressourcen für Forschung und Entwicklung aufzuwenden. Entdecken Sie SOC Primes Detection as Code-Plattform, um Zugang zu SIGMA-Regeln von höchster Qualität zusammen mit Übersetzungen in mehr als 20 anbieter-spezifische SIEM-, EDR- und XDR-Formate zu erhalten. Eine genaue und rechtzeitige Erkennung ist der Schlüssel zur Organisation eines effizienten SOC 24/7/365, während Ihre Ingenieure sich mit fortschrittlicheren Aufgaben beschäftigen können.
