Erkennung von SYK Crypter: NET. Malware verbreitet eine Gruppe von RATs über Discord
Inhaltsverzeichnis:
Da Discord bei Online-Nutzergemeinschaften extrem an Popularität gewinnt, indem es im Jahr 2021 von 150 Millionen Menschen genutzt wird, richten Hacker ihre Aufmerksamkeit auf diese Chat-, VoIP- und digitale Vertriebsplattform. Die potenzielle Angriffsfläche ist groß und vielversprechend, sodass Bedrohungsakteure Discord für Malware-Verbreitung und andere bösartige Aktionen missbrauchen können.
Kürzlich haben Sicherheitsexperten eine weitere Malware aufgedeckt, die die aktuelle Discord-Angriffs-Kill-Chain ausnutzt. Insbesondere missbrauchen Hacker das Discord CDN (Content Distribution Network), um mithilfe eines neuartigen SYK-Crypters einen Phishingangriff mit Remote-Access-Trojanern zu starten.
Erkennung von SYK Crypter
Erkennen Sie die mit dem hoch-evasiven SYK-Crypter verbundenen bösartigen Aktivitäten, indem Sie eine spezielle Sigma-Regel nutzen, die von unserem produktiven Threat Bounty-Autor erstellt wurde Osman Demir. Zugriff auf die Sigma-Regel, übersetzt in 23 SIEM-, EDR- und XDR-Formate über den untenstehenden Link:
Verdächtige Ausführung des Syk Crypters mit Powershell (über cmdline)
Um mehr kuratierte Erkennungsinhalte zu den aufkommenden Bedrohungen zu erhalten und den vollständigen Kontext mit MITRE ATT&CK-Referenzen, CTI-Links und anderen wertvollen Metadaten anzureichern, sind Sie herzlich eingeladen, das Threat Detection Marketplace Repository zu erkunden, das von der SOC Prime Detection as Code-Plattform unterstützt wird.
Sind Sie ein etablierter Profi im Bereich Threat Hunting und Detection Engineering? Monetarisieren Sie Ihre fortschrittlichen Cyber-Sicherheitsfähigkeiten, indem Sie unserem Threat Bounty-Programm beitreten. Reichen Sie Ihre Sigma-, Yara- oder Snort-Regeln ein, lassen Sie sie auf unserer Plattform veröffentlichen und erhalten Sie wiederholte Auszahlungen, während Sie zur kollaborativen Cyberabwehr beitragen.
Erkennungen anzeigen Threat Bounty beitreten
SYK Crypter Angriffs-Kette
Laut den Forschungen von Morphisec haben SYK-Crypter-Operatoren keine Gelegenheit ausgelassen, eine beliebte Discord-Angriffs-Kette zur Malware-Verbreitung zu nutzen. Im Mai 2022 berichteten Sicherheitsexperten von mehreren SYK-Crypter-Infektionen, die mithilfe des Discord CDN durchgeführt wurden.
Insbesondere beginnt der Angriff mit einer Phishing-E-Mail, die eine bösartige Datei als Anhang enthält. Die Datei tarnt sich als legitime Bestellung, löst jedoch beim Öffnen die Infektionskette aus. In der ersten Phase wird DNetLoader auf dem Rechner des Opfers platziert, um eine Verbindung zu einem fest codierten Discord CDN-Endpunkt aufzunehmen und die verschlüsselten Dateien herunterzuladen. Danach tritt der SYK-Crypter in Aktion und entschlüsselt die endgültige Nutzlast, die als PE-Ressource gespeichert ist. Weitere Untersuchungen zeigen, dass SYK mehrere Remote-Access-Trojaner und Stealer verbreitet, einschließlich WarzoneRAT, AsyncRAT, Quasar RAT, NanoCore RAT, RedLine Stealerund mehr.
SYK Crypter Analyse
Morphisec-Experten zufolge ist der SYK-Crypter eine innovative Bedrohung, die eine breite Palette von Ausweichtechniken nutzt, um Cyber-Verteidiger zu überlisten und signatur- sowie verhaltensbasierte Sicherheitskontrollen zu umgehen. Insbesondere ist SYK in der Lage, AV-Lösungen zu erkennen und zu überwinden, Debugger zu überprüfen, Persistenz über den Autostartordner zu erlangen und die Nutzlast mithilfe der Process Hollowing-Technik auszuführen.
Endlose Bemühungen, die Verteidigung gegen die neuesten Bedrohungen anzupassen, scheinen herausfordernd zu sein. Mit SOC Prime’s Detection as Code-Plattform , unterstützt durch die kollaborative Cyberverteidigung, können Sie Ihre Bedrohungserkennungsfähigkeiten und Bedrohungsjagden erheblich verbessern und Bedrohungsakteure überholen und überlisten.
