Détection du Bot ModernLoader : Se propage via de fausses cartes cadeaux Amazon, compromet les utilisateurs en Europe de l’Est
Table des matières :
ModernLoader bot, alias Avatar bot, est un trojan d’accès à distance .NET avec la capacité de télécharger et d’exécuter des fichiers depuis le serveur C&C, de collecter des informations système, et d’exécuter des instructions arbitraires. Avec le contrôle à distance fourni par le malware, les acteurs de la menace utilisent le réseau compromis pour la propagation de botnet.
La chaîne de preuves suggère que ces attaques peuvent être attribuées à un nouveau groupe de cybercriminels russophones ciblant les utilisateurs en Pologne, en Hongrie, en Bulgarie et en Russie. Les adversaires exploitent les vulnérabilités dans WordPress et CPanel, incitant les utilisateurs à télécharger des implants malveillants déguisés en certificats cadeaux Amazon.
Détecter le Bot ModernLoader
Pour se défendre de manière proactive contre le RAT ModernLoader, SOC Prime a publié une règle Sigma unique, enrichie de contexte, développée par le perspicace Programme de récompense pour les menaces contributeur Aykut Gürses:
Détection des tâches planifiées des mineurs de cryptomonnaie et RATs ModernLoader (via cmdline)
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Devo, LimaCharlie, Snowflake, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, AWS OpenSearch, Carbon Black, Securonix, and Open Distro.
La règle est alignée avec le cadre MITRE ATT&CK® v.10, adressant la tactique d’Exécution avec Tâche/Job planifié(e) (T1053) comme technique principale.
Les professionnels de la sécurité en herbe s’efforçant de suivre les dernières tendances façonnant le paysage actuel des menaces cybernétiques bénéficieront du moteur de recherche des menaces cybernétiques, une première dans l’industrie. Appuyez sur le bouton Explorez le contexte des menaces pour naviguer instantanément dans le pool des principales menaces liées aux RAT et des algorithmes de détection nouvellement publiés, en explorant les informations contextuelles pertinentes en un seul endroit. Les professionnels de la sécurité tant débutants qu’expérimentés s’efforçant de suivre les dernières tendances façonneront le paysage actuel des menaces cybernétiques bénéficieront de la bibliothèque de contenu vaste qui est continuellement mise à jour avec des pièces vérifiées, atteignant désormais plus de 200,000 détections enrichies de contexte. Explorez les plans d’abonnement disponibles en appuyant sur le bouton Choisissez un plan . Restez en avance sur l’adversaire sans soucis!
Explorez les détections Choisissez un plan
Campagne de distribution ModernLoader
L’équipe de recherche Cisco Talos a détecté une vague de distribution de malware entre mars et juin 2022. Sur la base des attaques observées et des rapports de presse, il est possible de distinguer trois campagnes de distribution de malware, diffusant le RAT ModernLoader, le malware de vol d’informations RedLine , et des mineurs de cryptomonnaie. Les attaquants exploitent PowerShell, des assemblages .NET, ainsi que des fichiers HTA et VBS pour se déplacer latéralement à travers les réseaux compromis, déposant des charges utiles malveillantes supplémentaires. Ces attaques exposent les organisations mondiales dans divers secteurs industriels à des risques sévères.
L’acteur de la menace derrière les campagnes listées utilise des outils prêts à l’emploi ; les chercheurs y voient un indicateur du manque de compétences techniques de l’acteur criminel pour concevoir ses propres outils.
En 2022, le nombre de cyberattaques dans le monde devrait dépasser les records des années précédentes. Nous pratiquons le modèle Follow the Sun (FTS), assurant une réponse en temps opportun aux menaces grâce aux leaders de l’industrie situés dans des fuseaux horaires différents, de sorte que nos clients puissent obtenir les meilleurs résultats avec l’approche innovante de Détection en tant que Code. Prenez de l’avance sur les adversaires avec des solutions complètes conçues par les leaders de l’industrie de SOC Prime.
