Erkennung von ROKRAT: Malware nutzt neue Bereitstellungsmethoden und verlässt sich auf große LNK-Dateien
Inhaltsverzeichnis:
Gegner suchen ständig nach neuen Wegen, um Sicherheitsvorkehrungen zu überwinden. Nachdem Microsoft letztes Jahr standardmäßig Makros für Office-Dokumente blockierte, passten Cyberkriminelle ihre Bereitstellungsmethoden an, um an der Abwehr vorbeizukommen. APT37 folgt diesem großen Trend und verwendet Windows-Verknüpfungsdateien (LNK), um die ROKRAT (auch DOGCALL) Kampagnen erfolgreich durchzuführen.
Erkennen Sie ROKRAT Malware-Angriffe
Sicherheitspraktiker benötigen eine vertrauenswürdige Quelle für Erkennungsinhalte, um kritische organisatorische Vermögenswerte zu sichern und mögliche Einbrüche rechtzeitig zu identifizieren. Die SOC Prime-Plattform bietet eine Reihe von Sigma-Regeln zur Erkennung der neuesten ROKRAT-Kampagnen.
Diese Erkennungsregel erstellt von Mustafa Gurkan KARAKAYA, einem erfahrenen Threat Bounty-Entwickler, identifiziert die Ausführung von ROKRAT-Malware über eine bösartige DLL-Datei durch die zugehörige Befehlszeile. Die Regel ist mit 23 SIEM-, EDR- und XDR-Lösungen kompatibel und ist dem MITRE ATT&CK®-Framework zugeordnet, insbesondere der Execution-Taktik und der Command and Scripting Interpreter (T1059) Technik.
Wollen Sie Ihre Fähigkeiten in der Erkennungstechnik und Bedrohungsjagd sinnvoll einsetzen und gleichzeitig die Welt sicherer machen? Treten Sie dem Threat Bounty-Programm von SOC Prime bei und veröffentlichen Sie Ihre Sigma-Regeln auf dem größten Bedrohungserkennungs-Marktplatz. Als Mitglied unserer Crowdsourcing-Initiative können Sie Ihren zukünftigen Lebenslauf verbessern und mit Branchenexperten vernetzen, während Sie auch finanzielle Vorteile für Ihre Beiträge erhalten.
Klicken Sie auf den Detektionsmöglichkeiten durchsuchen Button unten, um die vollständige Liste der Sigma-Regeln zur Erkennung von ROKRAT-Malware zu erhalten. Alle Sigma-Regeln werden mit relevanter Cyberbedrohungsintelligenz angereichert, die einen umfassenden Kontext der Angriffe und Verhaltensmuster der Gegner bietet, um Ihre Untersuchung zu beschleunigen.
Detektionsmöglichkeiten durchsuchen
Analyse der neuen ROKRAT-Infektionskette
Um mit der sich ständig ändernden Angriffsfläche Schritt zu halten, hat der APT37-Nation-State-Actor neue Bereitstellungsmethoden für ihr hauptsächliches bösartiges Sample ROKRAT angenommen.
Die ROKRAT-Backdoor wird häufig für Credential-Dumping, Informationsdiebstahl, Befehls- und Shellcode-Ausführung und mehr genutzt. Seit Juli 2022 haben Sicherheitsexperten einen Wechsel von bösartigen Makros zu großen LNK-Dateien beobachtet, die verwendet werden, um die mehrstufige Infektionskette von ROKRAT einzuleiten. Bemerkenswerterweise wurde derselbe Ansatz auch in anderen APT37-Angriffen angewendet, was in der Bereitstellung von kundenspezifischem GOLDBACKDOOR und handelsüblicher Amadey-Malware resultiert.
Die neuesten ROKRAT-Kampagnen konzentrieren sich weitgehend auf südkoreanische öffentliche Institutionen, ein traditionelles Ziel von APT37. Diese Hackergruppe ist dem nordkoreanischen Ministerium für Staatssicherheit zugehörig und ist seit mindestens 2012 aktiv. Seit 2017 haben die Gegner ihre Zielsetzungen über Südkorea hinaus erweitert und suchen nun weltweit nach Opfern. Die betroffenen Sektoren umfassen, sind aber nicht beschränkt auf Fertigung, Elektronik, Gesundheitswesen und Automobilindustrie.
Da die Angriffsflächen immer komplexer werden, suchen Organisationen nach Methoden, um aufkommende Bedrohungen schnell zu erkennen und ihre Infrastruktur vor möglichen Einbrüchen zu schützen. SOC Prime bietet umfassende Erkennungsinhalte an, die die neuesten Malware-Bedrohungen abdecken und sicherstellen, dass Ihre Organisation vollständig ausgestattet ist, um den Gegnern einen Schritt voraus zu sein. Besuchen Sie https://socprime.com/ um mehr über aufkommende Bedrohungen zu erfahren oder solche zu erreichen, die auf das Bedrohungsprofil Ihrer Organisation mit einem On-Demand-Abonnement bei https://my.socprime.com/pricing.
