Detección de Ataques MULTI#STORM: Una Nueva Campaña de Phishing que Propaga Múltiples Troyanos de Acceso Remoto y Objetivo en EE.UU. e India
Tabla de contenidos:
Investigadores de ciberseguridad advierten a los defensores de otra campaña de phishing llamada MULTI#STORM, en la cual los hackers abusan de los archivos JavaScript para introducir malware RAT en los sistemas objetivo. La cadena de ataque MULTI#STORM contiene múltiples etapas, siendo la última la propagación de Quasar RAT and Warzone RAT muestras. Según la investigación, en esta campaña los actores de amenaza han fijado su mirada en EE.UU. e India.
Detección de Ataque MULTI#STORM
La Plataforma SOC Prime para defensa cibernética colectiva permite a las organizaciones mejorar su resiliencia cibernética al ofrecer soluciones económicas y avanzadas respaldadas por Sigma y tecnologías MITRE ATT&CK. Para armar a los defensores cibernéticos con SOC basado en comportamientos para contenido de detección de ataques MULTI#STORM, la Plataforma SOC Prime selecciona un conjunto de reglas Sigma relevantes mapeadas a ATT&CK y compatibles con tecnologías líderes del mercado como SIEM EDR, XDR y Data Lake. Haga clic en el
Click the Explorar Detecciones botón abajo para profundizar en la lista completa de reglas Sigma para detectar la nueva campaña MULTI#STORM e identificar oportunamente cualquier rastro potencial de malware RAT en la infraestructura de la organización. Todos los algoritmos de detección están enriquecidos con metadatos relevantes, como enlaces ATT&CK y CTI, mitigaciones y binarios correspondientes.
Análisis del Ataque de Phishing MULTI#STORM
Investigadores de ciberseguridad en Securonix Threat Labs han descubierto una nueva campaña de phishing conocida como MULTI#STORM que principalmente apunta a usuarios individuales en EE.UU. e India. La cadena de infección comienza al hacer clic en un enlace incrustado que dirige a un archivo ZIP protegido con contraseña ubicado en Microsoft OneDrive. Este último contiene un archivo Javascript ofuscado que, una vez doble clic, propaga la infección utilizando un cargador basado en Python, que aplica capacidades y TTPs de atacante similares al malware DBatLoader. El cargador utilizado en la etapa inicial del ataque de la campaña MULTI#STORM es responsable de propagar un conjunto de muestras de malware RAT en los sistemas afectados y utiliza un conjunto de técnicas avanzadas para mantener la persistencia y evitar ser detectado.
Los actores de amenaza primero dejan caer el famoso troyano apodado Warzone RAT, que es capaz de comunicación C2 encriptada, mantener la persistencia, y recuperación de contraseñas, mientras también aplica un conjunto de técnicas de adversario para evadir detección, como la funcionalidad de elusión de Windows Defender. Warzone RAT es utilizado por los hackers para robar datos sensibles, como cookies y credenciales de navegadores web populares.
Los investigadores también observaron los rastros maliciosos de otro payload denominado Quasar RAT detrás de la ejecución de Warzone RAT en la operación MULTI#STORM. Los actores de amenaza aplicaron un puerto diferente para la comunicación tras la ejecución exitosa de Quasar RAT.
Como medidas de mitigación potenciales, los defensores de ciberseguridad recomiendan monitorear continuamente el uso de enlaces de OneDrive, evitar abrir cualquier archivo adjunto de correo electrónico sospechoso, particularmente archivos ZIP, y limitar la ejecución de binarios desconocidos mediante actualizaciones de políticas junto con seguir las mejores prácticas de seguridad para protección de seguridad de correo electrónico.
Contexto MITRE ATT&CK
Todas las reglas Sigma mencionadas anteriormente están etiquetadas con ATT&CK proporcionando información contextual detallada y tratando tácticas y técnicas relevantes asociadas con la campaña MULTI#STORM.
Tactics | Techniques | Sigma Rule |
Execution | Command and Scripting Interpreter (T1059) | |
Windows Management Instrumentation (T1047) | ||
Persistence | Boot or Logon Autostart Execution (T1547) | |
Defense Evasion | Abuse Elevation Control Mechanism (T1548) | |
Virtualization/Sandbox Evasion (T1497) | ||
Hide Artifacts (T1564) | ||
Impair Defenses (T1562) | ||
Masquerading (T1036) | ||
Credential Access | OS Credential Dumping (T1003) | |
Discovery | Remote System Discovery (T1018) | |
Command and Control | Application Layer Protocol (T1071) | |
Ingress Tool Transfer (T1105) |
Regístrese en la Plataforma SOC Prime para equiparse con herramientas de defensa cibernética de vanguardia que se ajustan a sus necesidades de seguridad actuales. Explore el repositorio más grande del mundo con más de 10,000 reglas Sigma para detectar amenazas emergentes de manera proactiva; confíe en Uncoder AI para avanzar en su ingeniería de detección con autocompletado Sigma & ATT&CK, traducción instantánea bidireccional de consultas a más de 28 formatos de idiomas y contexto de amenaza cibernética en profundidad respaldado por ChatGPT y el poder de la inteligencia colectiva; o aproveche Attack Detective para validar toda la pila de detección en menos de 300 segundos, encontrar brechas de defensa cibernética y abordarlas de manera efectiva para blindar su postura de ciberseguridad. ¿Esforzándose por mantenerse al día con las últimas noticias? Únase a nuestra comunidad abierta de defensores cibernéticos en discord.gg/socprime.
