Détection de l’attaque MULTI#STORM : Une nouvelle campagne de phishing diffusant plusieurs chevaux de Troie d’accès à distance et ciblant les États-Unis et l’Inde
Table des matières :
Les chercheurs en cybersécurité avertissent les défenseurs d’une autre campagne de phishing surnommée MULTI#STORM, dans laquelle les hackers abusent des fichiers JavaScript pour déposer des malwares RAT sur les systèmes ciblés. La chaîne d’attaque MULTI#STORM contient plusieurs étapes avec la dernière se propageant Quasar RAT and Warzone RAT témoins. Selon l’enquête, dans cette campagne, les acteurs de la menace ont jeté leur dévolu sur les États-Unis et l’Inde.
Détection d’Attaque MULTI#STORM
La plateforme SOC Prime pour la défense cybercollective permet aux organisations d’améliorer leur résilience cyber en fournissant des solutions économiques et à la pointe de la technologie soutenues par Sigma et les technologies MITRE ATT&CK . Pour armer les défenseurs cyber avec un SOC basé sur le comportement pour du contenu pour la détection d’attaque MULTI#STORM, la plateforme SOC Prime crée un ensemble de règles Sigma pertinentes mappées à ATT&CK et compatibles avec les technologies SIEM EDR, XDR et Data Lake leaders du marché.
Cliquez sur le Explorez les Détections bouton ci-dessous pour creuser dans la liste complète des règles Sigma pour détecter la nouvelle campagne MULTI#STORM et identifier rapidement tout soupçon de malware RAT dans l’infrastructure de l’organisation. Tous les algorithmes de détection sont enrichis de métadonnées pertinentes, telles que les liens ATT&CK et CTI, les mesures d’atténuation et les binaires correspondants.
Analyse de l’Attaque de Phishing MULTI#STORM
Les chercheurs en cybersécurité des Securonix Threat Labs ont découvert une nouvelle campagne de phishing connue sous le nom de MULTI#STORM qui cible principalement les utilisateurs individuels aux États-Unis et en Inde. La chaîne d’infection commence par le clic sur un lien intégré menant à un fichier ZIP protégé par mot de passe situé sur Microsoft OneDrive. Ce dernier contient un fichier Javascript obscurci qui, une fois double-cliqué, propage l’infection en utilisant le chargeur basé sur Python, qui applique des capacités et techniques d’attaque similaires à celles du malware DBatLoader. Le chargeur utilisé lors de l’étape initiale de l’attaque dans la campagne MULTI#STORM est responsable de la propagation d’un ensemble de témoins malware RAT sur les systèmes impactés et utilise une série de techniques avancées pour maintenir la persistance et éviter la détection.
Les acteurs malveillants déposent d’abord le trojan notoire surnommé Warzone RATcapable de communication C2 encryptée, de maintenir la persistance, de récupérer les mots de passe tout en appliquant un ensemble de techniques adverses pour échapper à la détection, telles que la fonctionnalité de contournement de Windows Defender. Le Warzone RAT est utilisé par les hackers pour voler des données sensibles, telles que les cookies et les informations d’identification des navigateurs web populaires.
Les chercheurs ont également observé les traces malveillantes d’une autre charge utile surnommée Quasar RAT derrière l’exécution de Warzone RAT dans l’opération MULTI#STORM. Les acteurs malveillants ont utilisé un port différent pour la communication après l’exécution réussie de Quasar RAT.
Comme mesures d’atténuation potentielles, les défenseurs cyber recommandent de surveiller en continu l’utilisation des liens OneDrive, d’éviter d’ouvrir des pièces jointes d’e-mail suspectes, en particulier les fichiers ZIP, et de limiter l’exécution de binaires inconnus par des mises à jour de politique ainsi que de suivre les meilleures pratiques de sécurité pour la protection des e-mails.
Contexte MITRE ATT&CK
Toutes les règles Sigma mentionnées ci-dessus sont étiquetées avec ATT&CK fournissant des informations contextuelles approfondies et abordant les tactiques et techniques pertinentes associées à la campagne MULTI#STORM.
Tactics | Techniques | Sigma Rule |
Execution | Command and Scripting Interpreter (T1059) | |
Windows Management Instrumentation (T1047) | ||
Persistence | Boot or Logon Autostart Execution (T1547) | |
Defense Evasion | Abuse Elevation Control Mechanism (T1548) | |
Virtualization/Sandbox Evasion (T1497) | ||
Hide Artifacts (T1564) | ||
Impair Defenses (T1562) | ||
Masquerading (T1036) | ||
Credential Access | OS Credential Dumping (T1003) | |
Discovery | Remote System Discovery (T1018) | |
Command and Control | Application Layer Protocol (T1071) | |
Ingress Tool Transfer (T1105) |
Inscrivez-vous à la plateforme SOC Prime pour être équipé des outils de défense cyber à la pointe correspondant à vos besoins de sécurité actuels. Explorez le plus grand référentiel mondial de plus de 10 000 règles Sigma pour détecter de manière proactive les menaces émergentes ; fiez-vous à Uncoder AI pour avancer votre ingénierie de détection avec l’autocomplétion Sigma & ATT&CK, une traduction instantanée de requêtes bidirectionnelles dans plus de 28 formats de langues & un contexte de menace cyber approfondi soutenu par ChatGPT et la puissance de l’intelligence collective ; ou profitez d’Attack Detective pour valider l’ensemble de votre pile de détection en moins de 300 secondes, trouver les lacunes de défense cyber et y remédier efficacement pour blinder votre posture de cybersécurité. Vous efforcez-vous de suivre les dernières nouvelles ? Rejoignez notre communauté de défenseurs cyber open-source sur discord.gg/socprime.
