Threat Hunting-Inhalte: DropboxAES RAT-Erkennung

Heute möchten wir Ihnen vom DropboxAES-Trojaner erzählen, der von der APT31-Gruppe in Cyber-Spionage-Kampagnen eingesetzt wird, und auch einen Link zur Community Sigma-Regel geben, um diese Malware zu erkennen.

Im Allgemeinen hebt sich DropboxAES nicht von anderen Remote-Access-Trojanern ab. Dies ist ein relativ neues Werkzeug im Arsenal der APT31 (auch bekannt als BRONZE VINEWOOD). Die Malware verdankt ihren Namen der Nutzung des Dropbox-Dateifreigabedienstes für ihre Command-and-Control-Kommunikation. Die APT31-Gruppe setzte den Trojaner zuvor mit der HanaLoader-Malware ein, darüber berichten wir jedoch in unseren nächsten Blogbeiträgen. Der Loader verwendet die DLL Search Order Hijacking-Technik, um die endgültige Nutzlast auszuführen. DropboxAES RAT ermöglicht es den Angreifern, Dateien vom infizierten Host auf den C&C-Server hochzuladen, Dateien vom C&C-Server auf den infizierten Host herunterzuladen, Befehle auf dem infizierten Host über eine nicht-interaktive, auf der Befehlszeile basierende Reverse-Shell auszuführen, grundlegende Systeminformationen über den kompromittierten Host zum C&C-Server hochzuladen und sich vollständig vom infizierten System zu entfernen.

Forscher entdeckten den Trojaner in einer Kampagne, die auf juristische, beratende und Softwareentwicklungsorganisationen abzielt. Sie glauben, dass die Angreifer an Regierungs- oder Verteidigungslieferketten interessiert sind. 

APT31 als chinesische Bedrohungsakteur spezialisiert auf den Diebstahl von geistigem Eigentum, mit Schwerpunkt auf Daten und Projekten, die eine bestimmte Organisation wettbewerbsfähig in ihrem Bereich machen. 

Ariel Millahuel veröffentlichte eine neue Bedrohungsjagdregel, die die Präsenz dieser persistenten Malware im Netzwerk der Organisation aufdeckt: https://tdm.socprime.com/tdm/info/LshSYr8uLWtf/SbsfKXMBPeJ4_8xcqH6l/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Persistenz

Techniken: Registry Run Keys / Startup Folder (T1060)