Threat Hunting Inhalt: Erkennung von Taurus Stealer

Die Taurus-Information stehlende Malware ist ein relativ neues Tool, das vom Predator The Thief-Team erstellt wurde, das sie in Hacker-Foren bewirbt. Der Infostealer kann sensible Daten von Browsern, Kryptowährungs-Wallets, FTP, E-Mail-Clients und verschiedenen Apps stehlen. Die Malware ist hochgradig ausweichend und umfasst Techniken, um der Erkennung durch Sandboxes zu entgehen. Angreifer haben ein Dashboard entwickelt, auf dem ihre Kunden die Infektionszahlen nach geografischen Standorten im Auge behalten können. Dieses Dashboard bietet dem Angreifer auch die Möglichkeit, die Konfiguration von Taurus anzupassen.

Ein kostengünstiges und effektives Tool ist von Cyberkriminellen nicht unbemerkt geblieben, und seit Anfang Juni haben Forscher verfolgt bösartige Kampagnen zur Verbreitung von Taurus Infostealer. Gegner versenden Spam-E-Mails mit einem Dokument im Anhang, das bösartigen Makrocode enthält, um weitere Nutzlasten herunterzuladen. Wenn der Benutzer das Makro aktiviert, wird eine AutoOpen()-Unterroutine aufgerufen, die das bösartige VBA-Makro ausführt, das ein PowerShell-Skript über BitsTransfer ausführt, um drei verschiedene Dateien von der Github-Seite herunterzuladen und sie in einem Temp-Ordner mit vordefinierten Namen zu speichern. 

Exklusive Bedrohungsjagd-Sigma-Regel von Osman Demir ermöglicht Sicherheitslösungen, die Taurus-Malware während ihres Installationsprozesses zu erkennen: https://tdm.socprime.com/tdm/info/SCpXVANx2z2W/1HoNBXMBSh4W_EKGWceZ/?p=1

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Taktiken: Verteidigungsumgehung, Ausführung

Techniken: PowerShell (T1086), Scripting (T1064)