Détection de ROKRAT : Le Malware Adopte de Nouvelles Méthodes de Déploiement S’appuyant sur de Grands Fichiers LNK
Table des matières :
Les adversaires recherchent constamment des moyens novateurs pour contourner les protections de sécurité. Après que Microsoft a commencé à bloquer par défaut les macros pour les documents Office l’année dernière, les cybercriminels ont adapté leurs méthodes de déploiement pour échapper à la défense. APT37 suit cette tendance majeure, en utilisant des fichiers de raccourci Windows (LNK) pour mener avec succès les campagnes ROKRAT (alias DOGCALL).
Détecter les attaques de logiciels malveillants ROKRAT
Les praticiens de la sécurité nécessitent une source fiable de contenu de détection pour sécuriser les actifs organisationnels critiques et identifier rapidement de possibles intrusions. La plateforme SOC Prime offre un lot de règles Sigma pour détecter les dernières campagnes ROKRAT.
Cette règle de détection créée par Mustafa Gurkan KARAKAYA, un développeur expérimenté en Threat Bounty, identifie l’exécution du malware ROKRAT via un fichier DLL malveillant par la ligne de commande associée. La règle est compatible avec 23 solutions SIEM, EDR et XDR, et est mappée au cadre MITRE ATT&CK® , adressant spécifiquement la tactique d’Exécution et la technique d’Interprète de commandes et de scripts (T1059).
Êtes-vous impatient de mettre à profit vos compétences en ingénierie de détection et en chasse aux menaces tout en contribuant à rendre le monde plus sûr ? Rejoignez le Programme Threat Bounty de SOC Prime et publiez vos règles Sigma sur le plus grand marché de détection des menaces. En devenant membre de notre initiative de crowdsourcing, vous pouvez enrichir votre CV futur et entrer en contact avec des experts de l’industrie, tout en recevant des avantages financiers pour vos contributions.
Cliquez sur le bouton Explorer les Détections ci-dessous pour accéder à la liste complète des règles Sigma pour détecter le malware ROKRAT. Toutes les règles Sigma sont enrichies d’une intelligence sur les menaces cybernétiques pertinente, fournissant un contexte complet des attaques et des modèles de comportement des adversaires pour rationaliser votre enquête.
Analyse de la nouvelle chaîne d’infection ROKRAT
Pour suivre la surface d’attaque en constante évolution, l’acteur étatique APT37 a adopté de nouvelles méthodes de déploiement pour son échantillon malveillant principal ROKRAT.
Le cheval de Troie ROKRAT est souvent utilisé pour le vol de crédentiels, le vol d’informations, l’exécution de commandes et de shellcode, et plus encore. Depuis juillet 2022, les experts en sécurité ont observé un passage des macros malveillantes aux grands fichiers LNK utilisés pour initier la chaîne d’infection en plusieurs étapes de ROKRAT. Notamment, la même approche a été appliquée dans d’autres attaques APT37 aboutissant au déploiement des logiciels malveillants sur mesure GOLDBACKDOOR et Amadey.
Les dernières campagnes ROKRAT ciblent principalement les institutions du secteur public sud-coréen, qui sont une cible d’intérêt traditionnel pour APT37. Ce collectif de hackers est affilié au Ministère de la Sécurité d’État de la Corée du Nord et est actif depuis au moins 2012. Depuis 2017, les adversaires ont élargi leur cible au-delà de la Corée du Sud uniquement, cherchant maintenant des victimes à l’échelle mondiale. Les secteurs touchés incluent, sans s’y limiter, les secteurs de la fabrication, de l’électronique, des soins de santé et de l’industrie automobile.
À mesure que les surfaces d’attaque deviennent plus complexes, les organisations cherchent des méthodes pour détecter rapidement les menaces émergentes et protéger leur infrastructure contre de possibles intrusions. SOC Prime fournit un contenu de détection complet qui couvre les dernières menaces de logiciels malveillants, garantissant que votre organisation est entièrement équipée pour devancer les adversaires. Visitez https://socprime.com/ pour en savoir plus sur les menaces émergentes ou atteindre celles adaptées au profil de menace de votre organisation avec l’abonnement On Demand sur https://my.socprime.com/pricing.
