ROKRAT Detection: Malware Adopts New Deployment Methods Relying on Large LNK Files
Tabla de contenidos:
Los adversarios están constantemente buscando formas novedosas de superar las protecciones de seguridad. Después de que Microsoft comenzó a bloquear las macros en documentos de Office de forma predeterminada el año pasado, los ciberdelincuentes adaptaron sus métodos de implementación para pasar a través de la defensa. APT37 sigue esta tendencia mayor, usando archivos de acceso directo de Windows (LNK) para llevar a cabo con éxito las campañas ROKRAT (también conocido como DOGCALL).
Detectar Ataques de Malware ROKRAT
Los profesionales de seguridad requieren una fuente confiable de contenido de detección para asegurar activos organizacionales críticos e identificar posibles intrusiones a tiempo. La plataforma SOC Prime ofrece un conjunto de reglas Sigma para detectar las últimas campañas ROKRAT.
Esta regla de detección creada por Mustafa Gurkan KARAKAYA, un desarrollador experimentado de Threat Bounty, identifica la ejecución de malware ROKRAT a través de un archivo DLL malicioso por la línea de comandos asociada. La regla es compatible con 23 soluciones SIEM, EDR y XDR, y está mapeada al marco MITRE ATT&CK® , abordando específicamente la táctica de Ejecución y la técnica del Intérprete de Comandos y Scripts (T1059).
¿Estás interesado en utilizar tus habilidades de ingeniería de detección y caza de amenazas para un buen propósito mientras haces del mundo un lugar más seguro? Únete al Programa de Threat Bounty de SOC Prime y publica tus reglas Sigma en el mayor mercado de detección de amenazas. Al convertirte en miembro de nuestra iniciativa de crowdsourcing, puedes mejorar tu CV futuro y conectar con expertos de la industria, mientras también recibes beneficios financieros por tus contribuciones.
Pulsa el botón Explorar Detecciones a continuación para acceder a la lista completa de reglas Sigma para detectar malware ROKRAT. Todas las reglas Sigma están enriquecidas con información relevante de inteligencia de amenazas cibernéticas, proporcionando un contexto comprensivo de los ataques y patrones de comportamiento de los adversarios para agilizar tu investigación.
Analizando la Nueva Cadena de Infección de ROKRAT
Para mantenerse al día con la superficie de ataque en constante cambio, el actor estatal APT37 ha adoptado nuevos métodos de implementación para su muestra principal maliciosa ROKRAT.
El backdoor ROKRAT se utiliza frecuentemente para volcado de credenciales, robo de información, ejecución de comandos y shellcode, y más. Desde julio de 2022, expertos en seguridad han observado un cambio de macros maliciosas a grandes archivos LNK utilizados para iniciar la cadena de infección de múltiples etapas de ROKRAT. Notablemente, el mismo enfoque fue aplicado en otros ataques de APT37 resultando en la implementación personalizada de malware GOLDBACKDOOR y Amadey.
Las últimas campañas de ROKRAT están principalmente enfocadas en instituciones del sector público surcoreano, que es un objetivo tradicional de interés para APT37. Este colectivo de hackers está afiliado al Ministerio de Seguridad del Estado de Corea del Norte y ha estado activo desde al menos 2012. A partir de 2017, los adversarios expandieron su targeting más allá de Corea del Sur exclusivamente, ahora buscando víctimas a nivel global. Los sectores afectados incluyen, pero no se limitan a, los verticales de manufactura, electrónica, salud y la industria automotriz.
A medida que las superficies de ataque se vuelven más complejas, las organizaciones están buscando métodos para detectar amenazas emergentes rápidamente y proteger su infraestructura de posibles intrusiones. SOC Prime proporciona contenido de detección integral que aborda las amenazas de malware más recientes, asegurando que tu organización esté completamente equipada para mantenerse por delante de los adversarios. Visita https://socprime.com/ para aprender más sobre amenazas emergentes o acceder a aquellas adaptadas al perfil de amenazas de tu organización con la suscripción bajo demanda en https://my.socprime.com/pricing.
