Troyano AZORult Utilizado en Ataques Dirigidos

[post-views]
octubre 07, 2020 · 2 min de lectura
Troyano AZORult Utilizado en Ataques Dirigidos

La semana pasada, investigadores de Zscaler ThreatLabZ publicaron un informe sobre una campaña masiva dirigida a la cadena de suministro y a los sectores gubernamentales en el Medio Oriente. Ciberdelincuentes enviaron correos electrónicos de phishing que simulaban ser de empleados de la Compañía Nacional de Petróleo de Abu Dhabi (ADNOC) que infectaron objetivos con el troyano AZORult.

Campaña Dirigida a organizaciones en el Medio Oriente

Los adversarios vieron una oportunidad para usar contratos terminados por ADNOC en abril como señuelo, mientras las negociaciones están activamente en marcha y se están concluyendo nuevos contratos.

La campaña comenzó en julio, y múltiples organizaciones relacionadas con la cadena de suministro en el sector del petróleo y gas recibieron correos electrónicos de phishing con archivos PDF que parecían legítimos, conteniendo enlaces a servicios de compartir archivos legítimos que alojaban archivos ZIP maliciosos. El archivo contiene un dropper que descarga y despliega el troyano AZORult en la máquina objetivo.

AZORult es un malware comercial conocido desde hace más de 4 años, por lo que es difícil atribuir esta campaña a actores de amenazas conocidos. El troyano tiene funcionalidad de robo de información y también la capacidad de instalar herramientas adicionales y crear una cuenta de administrador oculta que permite conexiones RDP al sistema infectado.

Detección del troyano AZORult

Nueva regla Sigma de caza de amenazas comunitaria lanzada por Osman Demir habilita soluciones de seguridad para encontrar rastros del troyano AZORult implementado durante la campaña dirigida: https://tdm.socprime.com/tdm/info/haGwuszBAOO8/szlv_XQBR-lx4sDx1j_Y/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

Tácticas: Evasión de Defensas, Persistencia

Técnicas: Eliminación de Indicadores en Host (T1070), Claves de Registro de Ejecución / Carpeta de Inicio (T1060)

Encuentra más contenido de detección para descubrir el malware AZORult y droppers relacionados en Threat Detection Marketplace.

¿Listo para probar SOC Prime TDM? Regístrese gratis. O únase al Programa de Recompensas por Amenazas para crear su propio contenido y compartirlo con la comunidad de TDM.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware 4 min de lectura Últimas Amenazas Detección de Lumma Stealer: Campaña Sofisticada Usando Infraestructura de GitHub para Propagar SectopRAT, Vidar, Cobeacon y Otros Tipos de Malware by Veronika Telychko
Todas las noticias