Contenido de Caza de Amenazas: Detección de DropboxAES RAT

Hoy queremos contarte sobre el troyano DropboxAES utilizado por el grupo APT31 en campañas de ciberespionaje y también proporcionarte un enlace a la regla Community Sigma para detectar este malware.

En general, DropboxAES no se destaca del resto de los troyanos de acceso remoto. Esta es una herramienta relativamente nueva en el arsenal de APT31 (también conocido como BRONZE VINEWOOD). El malware debe su nombre al uso del servicio de intercambio de archivos Dropbox para sus comunicaciones de comando y control. El grupo APT31 previamente desplegó el troyano con el malware HanaLoader, pero más sobre eso en nuestras próximas publicaciones de blog. El cargador utiliza la técnica de Secuestro del Orden de Búsqueda de DLL para ejecutar la carga útil final. DropboxAES RAT permite a los adversarios cargar archivos desde el host infectado al servidor C&C, descargar archivos desde el servidor C&C al host infectado, ejecutar comandos en el host infectado a través de una shell inversa basada en línea de comandos no interactiva, cargar información básica del sistema sobre el host comprometido al servidor C&C, y eliminarse completamente del sistema infectado.

Los investigadores descubrieron el troyano en una campaña dirigida a organizaciones legales, de consultoría y desarrollo de software. Creen que los atacantes están interesados en cadenas de suministro gubernamentales o de defensa. 

APT31 como un actor de amenaza chino especializado en el robo de propiedad intelectual, centrado en datos y proyectos que hacen a una organización particular competitiva en su campo. 

Ariel Millahuel lanzó una nueva regla de caza de amenazas que descubre la presencia de este malware persistente en la red de la organización: https://tdm.socprime.com/tdm/info/LshSYr8uLWtf/SbsfKXMBPeJ4_8xcqH6l/?p=1

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

Tácticas: Persistencia

Técnicas: Claves de Ejecución del Registro / Carpeta de Inicio (T1060)