JSOutProx RAT

[post-views]
septembre 01, 2020 · 3 min de lecture
JSOutProx RAT

L’année dernière, l’Inde a été nommée le pays le plus attaqué par les cyberattaques. Les infrastructures critiques dans les industries pétrolières et gazières, ainsi que dans les secteurs de la défense, de la banque et de la fabrication sont répertoriées parmi les cibles les plus courantes. 

En avril 2020, les établissements gouvernementaux et un certain nombre de banques en Inde ont été ciblés par des campagnes de courriels livrant un backdoor malveillant basé sur JavaScript et Java, qui a été en outre associé à JsOutProx RAT.

Dans leurs courriels malveillants, les attaquants ont exploité un sujet pertinent pour tout destinataire bancaire, ce qui rendait le courrier électronique encore plus légitime. Basé sur l’analyse de l’infrastructure des courriels malveillants envoyés dans différentes campagnes, les chercheurs les ont attribués à un seul acteur de menace. 

L’analyse de JsOutProx a également montré que le script peut être exécuté dans différents environnements. De plus, en comparant l’attaque précédente de JsOutProx, dans la dernière attaque, l’acteur de la menace utilise différentes méthodes de déploiement, y compris les environnements de serveurs web. Le script peut exécuter un certain nombre de commandes reçues de son serveur C2 pour manipuler le système de la victime et inclut un plugin PowerShell et un backdoor, y compris le retirer de la machine victime. Le timbre récent peut également retarder son exécution, et une fois déployé finalement, il exécute la routine d’initialisation pour recueillir des informations sensibles et les envoyer à son serveur de commande et contrôle par requête HTTP POST. 

Ariel Millahuel a créé une règle communautaire Sigma pour détecter les activités de JSOutProx RAT (détection Sysmon) : https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType[]=name&searchSubType=&searchQueryFeatures=false&searchValue=jsoutprox+rat+(sysmon+detection)

 

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tactiques : Impact, Évasion de la Défense, Persistance

Techniques : Fichiers ou Informations Obfusqués (T1027), Clés de Registre Run / Dossier de démarrage (T1060), Arrêt/Redémarrage du Système (T1529)


Prêt à essayer SOC Prime TDM ? Inscrivez-vous gratuitement. Ou rejoindre le Programme de Bounty de Menaces pour créer votre propre contenu et le partager avec la communauté TDM.

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Tactique d’Exécution | TA0002
Blog, Dernières Menaces — 7 min de lecture
Tactique d’Exécution | TA0002
Daryna Olyniychuk
PyVil RAT par le groupe Evilnum
Blog, Dernières Menaces — 2 min de lecture
PyVil RAT par le groupe Evilnum
Eugene Tkachenko
Transparent Tribe APT
Blog, Dernières Menaces — 2 min de lecture
Transparent Tribe APT
Eugene Tkachenko