Détection de NIGHT SPIDER Zloader : Défendez-vous contre l’Activité Malveillante du Cheval de Troie avec SOC Prime
Table des matières :
Le cheval de Troie Zloader de NIGHT SPIDER a fonctionné discrètement ces derniers mois à une échelle mondiale, menant une campagne d’intrusion sur un certain nombre d’entreprises dans divers secteurs.
La principale manière d’installer des malwares était dissimulée dans le logiciel légitime. Pour tirer parti de l’accès initial, les attaquants ont utilisé des .msi installateurs regroupés. Les charges utiles visaient à la reconnaissance. Bien qu’utilisant des techniques connues, les spécifications techniques plus précises des scripts malveillants ont été renouvelées. Les développeurs de contenu de SOC Prime ont immédiatement étudié les nouvelles variantes de malwares développées par NIGHT SPIDER et ont créé des règles de détection qui identifient l’activité des adversaires le plus tôt possible.
Campagne Zloader de NIGHT SPIDER
La nouvelle règle basée sur Sigma fournie par notre développeur Threat Bounty Sittikorn Sangrattanapitak détecte une activité Night Spider suspecte pour l’utilisation de l’utilitaire adminpriv.exe tentant de manipuler les valeurs du registre, ce qui a été le comportement des adversaires pendant la campagne Zloader en mars 2022.
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, LimaCharlie, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
Les règles sont alignées avec le dernier cadre MITRE ATT&CK® v.10, abordant la technique d’interprète de commande et de script.
De plus, vous pouvez consulter la liste complète des règles visant la détection du cheval de Troie Zloader qui sont actuellement disponibles sur la plateforme SOC Prime. Vous pensez avoir suffisamment d’expertise dans le domaine ? Alors, vous pouvez partager votre propre contenu de détection avec notre communauté mondiale de professionnels de la cybersécurité dans le cadre du programme Threat Bounty et obtenir des récompenses récurrentes pour votre contribution.
Voir les détections Rejoindre Threat Bounty
Analyse du Zloader de NIGHT SPIDER
Selon l’ enquête de CrowdStrike pour exécuter le cheval de Troie Zloader de NIGHT SPIDER , les installateurs de logiciels malveillants initiaux prétendent être ceux utilisant des hachages légitimes de logiciels largement utilisés comme Zoom, TeamViewer, JavaPlugin ou Brave Browser. Une fois qu’ils sont exécutés, ces installateurs téléchargent des charges utiles de reconnaissance automatisée via le cheval de Troie Zloader, et dans un certain nombre de cas, Cobalt Strike., the initial malware installers are pretending to be those using legitimate hashes of widely used software like Zoom, TeamViewer, JavaPlugin, or Brave Browser. Once they run, these installers download automated reconnaissance payloads via Zloader trojan, and in a number of cases, Cobalt Strike.
Les commandes PowerShell ont été utilisées par l’utilitaire wscript pour initier un téléchargement à distance de la charge utile de NIGHT SPIDER. Ces scripts ont également utilisé PowerShell pour échapper à l’Interface de scan anti-malware de Microsoft et à Windows Defender. Ensuite, l’utilitaire adminpriv a aidé les attaquants à modifier les valeurs du registre. La charge utile a été décryptée en exploitant les valeurs de hash des logiciels légitimes.
Les organisations s’efforcent de détecter le cheval de Troie Zloader de NIGHT SPIDER et les menaces similaires le plus tôt possible afin d’éviter des dommages importants à leurs systèmes et réseaux. La défense cyber collaborative est l’option la plus rapide et la plus efficace pour les équipes SOC qui veulent rester informées des contenus de détection les plus récents sans passer trop de temps et de ressources en recherche et développement. Explorez la plateforme de détection de code de SOC Prime pour accéder aux règles SIGMA de la plus haute qualité ainsi qu’à des traductions vers plus de 20 formats spécifiques de fournisseurs de SIEM, EDR et XDR. Une détection précise et opportuniste est la clé pour organiser un SOC efficace 24/7/365 tandis que vos ingénieurs peuvent s’atteler à des tâches plus avancées. Detection as Code platform to access the highest-quality SIGMA rules along with translations to more than 20 vendor-specific SIEM, EDR, and XDR formats. Accurate and timely detection is key to organizing efficient SOC 24/7/365 while your engineers can take up more advanced tasks.
