JSOutProx RAT

[post-views]
septiembre 01, 2020 · 2 min de lectura
JSOutProx RAT

El año pasado, India fue nombrado el país más ciberatacado. Infraestructuras críticas en las industrias de petróleo y gas, así como en los sectores de defensa, banca y manufactura se mencionan como los objetivos más comunes. 

En abril de 2020, los establecimientos gubernamentales y varios bancos en India fueron atacados por campañas de correo electrónico que entregaban un JavaScript malicioso y un backdoor basado en Java que fue posteriormente asociado con JsOutProx RAT.

En sus correos electrónicos maliciosos, los atacantes aprovecharon un tema relevante para cualquier destinatario de un banco, lo que hizo que el correo pareciera aún más legítimo. Basándose en el análisis de la infraestructura de los correos electrónicos maliciosos enviados en diferentes campañas, los investigadores los atribuyeron a un actor de amenaza. 

El análisis de JsOutProx también mostró que el script puede ejecutarse en diferentes entornos. Además, al comparar el ataque anterior de JsOutProx, en el último ataque el actor de amenaza utiliza diferentes métodos de despliegue, incluyendo entornos de servidores web. El script puede ejecutar una serie de comandos recibidos de su servidor C2 para manipular el sistema de la víctima, y el plugin de PowerShell y el backdoor, incluyendo su eliminación de la máquina de la víctima. El último sello también puede retrasar su ejecución, y una vez finalmente desplegado, ejecuta la rutina de inicialización para recopilar información sensible y enviarla a su servidor de mando y control en una solicitud HTTP POST. 

Ariel Millahuel creó una regla comunitaria de Sigma para detectar las actividades de JSOutProx RAT (detección de Sysmon): https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType[]=name&searchSubType=&searchQueryFeatures=false&searchValue=jsoutprox+rat+(sysmon+detection)

 

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Impacto, Evasión de Defensa, Persistencia

Técnicas: Archivos o Información Ofuscada (T1027), Claves de Ejecución/Carpeta de Inicio del Registro (T1060), Apagado/Reinicio del Sistema (T1529)


¿Listo para probar SOC Prime TDM? Regístrate gratis. O únete al Programa de Amenazas Bounty para crear tu propio contenido y compartirlo con la comunidad de TDM.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Táctica de Ejecución | TA0002
Blog, Últimas Amenazas — 6 min de lectura
Táctica de Ejecución | TA0002
Daryna Olyniychuk
PyVil RAT por el grupo Evilnum
Blog, Últimas Amenazas — 2 min de lectura
PyVil RAT por el grupo Evilnum
Eugene Tkachenko
APT de la Tribu Transparente
Blog, Últimas Amenazas — 2 min de lectura
APT de la Tribu Transparente
Eugene Tkachenko