NIGHT SPIDER Zloader Detección: Defensa Contra la Actividad Maliciosa del Troyano con SOC Prime

[post-views]
marzo 17, 2022 · 4 min de lectura
NIGHT SPIDER Zloader Detección: Defensa Contra la Actividad Maliciosa del Troyano con SOC Prime

El troyano Zloader de NIGHT SPIDER ha estado operando silenciosamente durante los últimos meses a escala global, llevando a cabo una campaña de intrusión en varias empresas de diversas industrias.

La principal forma de instalar malware estaba oculta dentro del software legítimo. Para aprovechar el acceso inicial, los atacantes utilizaron instaladores .msi agrupados. Las cargas útiles estaban destinadas al reconocimiento. A pesar de utilizar las técnicas conocidas, las especificaciones técnicas más precisas de los scripts maliciosos han sido renovadas nuevamente. Los desarrolladores de contenido de SOC Prime han estudiado inmediatamente las nuevas cepas de malware desarrolladas por NIGHT SPIDER y han creado reglas de detección que identifican la actividad de los adversarios lo antes posible.

Campaña Zloader de NIGHT SPIDER

La nueva regla basada en Sigma proporcionada por nuestro desarrollador de Threat Bounty Sittikorn Sangrattanapitak detecta actividad sospechosa de Night Spider para el uso de la utilidad adminpriv.exe intentando manipular valores de registro, lo cual ha sido el patrón de comportamiento del adversario durante la Campaña Zloader en marzo de 2022.

Campaña Zloader de NIGHT SPIDER usa adminpriv para manipular valores del registro (mediante creación de procesos)

Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.

Campaña Zloader de NIGHT SPIDER usa adminpriv para manipular valores del registro (mediante creación de procesos)

Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.

Las reglas están alineadas con el último marco MITRE ATT&CK® v.10, abordando la técnica de Interprete de Comandos y Scripts.

Además, puedes consultar la lista completa de reglas destinadas a la detección del troyano Zloader que están actualmente disponibles en la plataforma SOC Prime. ¿Sientes que tienes suficiente experiencia en el asunto? Entonces puedes compartir tu propio contenido de detección con nuestra comunidad global de profesionales cibernéticos en el Programa de Threat Bounty y recibir recompensas recurrentes por tu contribución.

Ver Detecciones Únete a Threat Bounty

Análisis de NIGHT SPIDER Zloader

Según la investigación de CrowdStrike , para ejecutar el troyano Zloader de NIGHT SPIDER, los instaladores iniciales de malware pretenden ser aquellos que usan hashes legítimos de software ampliamente utilizado como Zoom, TeamViewer, JavaPlugin o Brave Browser. Una vez que se ejecutan, estos instaladores descargan cargas automáticas de reconocimiento a través del troyano Zloader, y en varios casos, Cobalt Strike.

Se utilizaron comandos de PowerShell por la utilidad wscript para iniciar una descarga remota de la carga de NIGHT SPIDER. Estos scripts también utilizaron PowerShell para evadir la Interfaz de Escaneo de AntiMalware de Microsoft y el Windows Defender. Luego, la utilidad adminpriv ayudó a los atacantes a cambiar los valores del registro. La carga fue descifrada aprovechando los valores de hash del software legítimo.

Las organizaciones se esfuerzan por detectar el troyano Zloader de NIGHT SPIDER y amenazas similares lo antes posible para evitar daños significativos a sus sistemas y redes. La defensa cibernética colaborativa es la opción más rápida y eficiente para los equipos de SOC que desean estar al tanto del contenido de detección más reciente sin gastar demasiado tiempo y recursos en investigación y desarrollo. Explora la plataforma Detection as Code de SOC Prime para acceder a las reglas SIGMA de la más alta calidad junto con traducciones a más de 20 formatos específicos de proveedores SIEM, EDR y XDR. Una detección precisa y oportuna es clave para organizar un SOC eficiente 24/7/365 mientras tus ingenieros pueden abordar tareas más avanzadas. Detection as Code platform to access the highest-quality SIGMA rules along with translations to more than 20 vendor-specific SIEM, EDR, and XDR formats. Accurate and timely detection is key to organizing efficient SOC 24/7/365 while your engineers can take up more advanced tasks.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Acceder a la Funcionalidad de Uncoder AI a través de API 2 min de lectura Plataforma SOC Prime Acceder a la Funcionalidad de Uncoder AI a través de API by Steven Edwards Buscar en el Mercado de Detección de Amenazas de Uncoder AI 2 min de lectura Plataforma SOC Prime Buscar en el Mercado de Detección de Amenazas de Uncoder AI by Steven Edwards Traducir de Sigma a 48 idiomas 2 min de lectura Plataforma SOC Prime Traducir de Sigma a 48 idiomas by Steven Edwards
Todas las noticias