Détection de SmokeLoader : Distribution du Malware Amadey Bot via des Cracks de Logiciels

[post-views]
août 03, 2022 · 6 min de lecture
Détection de SmokeLoader : Distribution du Malware Amadey Bot via des Cracks de Logiciels


Amadey Bot, une souche de malware notoire qui a fait son apparition dans l’arène des menaces cybernétiques en 2018, est capable de voler des données et de déployer d’autres charges malveillantes sur le système compromis. Elle a été activement distribuée sur les forums de hackers pour mener des opérations offensives. Des chercheurs en cybersécurité ont récemment observé la distribution d’une nouvelle version du malware Amadey Bot via SmokeLoader des campagnes malveillantes exploitant des cracks de logiciels et des utilitaires de génération de clés à partir de sites web comme appâts.

Détection de SmokeLoader Déployant AmadeyBot Dans Les Campagnes Les Plus Récentes

Avec un nombre de cyberattaques croissant et des vecteurs de menace évoluant rapidement, les praticiens de la cybersécurité recherchent de nouvelles méthodes pour renforcer de manière proactive les défenses de leur organisation. La plateforme Detection as Code de SOC Prime propose un ensemble de règles Sigma pour aider les organisations mondiales à se défendre efficacement contre une nouvelle version d’Amadey Bot installée via SmokeLoader lors des dernières campagnes adverses. 

Toutes les règles Sigma dédiées sont convertibles pour les solutions SIEM, EDR et XDR de pointe et alignées sur le cadre MITRE ATT&CK® pour assurer une visibilité complète sur les menaces associées. Suivez les liens ci-dessous pour obtenir ces détections sélectionnées par nos contributeurs de contenu prolifiques et participants actifs du Programme de Bounty pour les Menaces, Aykut Gurses, Nattatorn Chuensangarun, et Aytek Aytemur:

Activité de Persistance Suspecte du Malware SmokeLoader (via cmdline)

Cette requête de chasse aux menaces développée par Aykut Gurses détecte une attaque persistante résultant de l’exécution par l’utilisateur des malwares SmokoLoader et Amadey Bot poussés via des cracks de logiciels ou des sites de keygen. La règle de détection aborde les tactiques d’évasion de défense et d’exécution ATT&CK ainsi que leurs techniques correspondantes, incluant la Modification du Registre (T1112), la Tâche/Job Planifiée (T1053), et l’Exécution Utilisateur (T1204).

Persistance Possible de SmokeLoader via la Modification du Registre par Distribution d’Amadey Bot (via process_creation)

La requête de chasse aux menaces susmentionnée créée par Nattatorn Chuensangarun détecte l’activité malveillante de persistance de SmokeLoader en se copiant dans le chemin Temp via une modification de clé de registre. Cette règle Sigma aborde la tactique d’évasion de défense de l’adversaire avec la modification du registre (T1112) utilisée comme technique principale.

Nouvelle version d’Amadey Bot Distribuée via SmokeLoader (via process_creation)

Cette règle Sigma par Aytek Aytemur détecte l’activité suspecte schtasks.exe implémentée par le malware Amadey Bot installé par SmokeLoader. La détection aborde la technique de Tâche/Job Planifiée (T1053) de l’ATT&CK issue de la tactique d’Exécution.  

Les experts de l’industrie et les contributeurs aspirants en contenu de détection peuvent affiner leurs compétences en Ingénierie de Détection et Chasse aux Menaces en rejoignant le Programme de Bounty pour les Menaces soutenu par l’initiative de crowdsourcing de SOC Prime. Rédigez du contenu de détection, partagez-le avec vos pairs de l’industrie et gagnez des récompenses financières pour vos contributions avec une brillante opportunité de développement personnel. 

Pour accéder à la liste complète des règles Sigma pour la détection du malware SmokeLoader, cliquez sur le bouton Detect & Hunt ci-dessous. Les utilisateurs non inscrits à SOC Prime peuvent aussi instantanément plonger dans le contexte de menace complet lié aux dernières campagnes SmokeLoader téléchargeant Amadey Bot en utilisant le moteur de recherche de menaces cybernétiques de SOC Prime. Cliquez sur le bouton Explore Threat Context et accédez à des métadonnées contextuelles approfondies, comprenant les références MITRE ATT&CK et CTI, les liens médias, et plus d’informations accompagnées des dernières règles Sigma de la plateforme SOC Prime.

Detect & Hunt Explore Threat Context

Depuis son apparition en 2018, Amadey Bot a été fréquemment utilisé par les adversaires pour mener des activités de reconnaissance, voler des données sensibles des hôtes infectés, et livrer des charges malveillantes supplémentaires. Alors que la distribution du malware a diminué en 2020-2021, Amadey Bot est réapparu en 2022 avec des fonctionnalités améliorées, passant des kits d’exploitation Fallout et Rig à SmokeLoader comme principale méthode de livraison. 

Selon l’ enquête d’AhnLab, SmokeLoader est généralement exécuté par des victimes non méfiantes dans le cadre de cracks de logiciels ou de keygens. Ainsi, le malware surmonte avec succès les alertes antivirus puisque les utilisateurs ont tendance à désactiver les protections lors de l’installation d’un crack de logiciel. En outre, SmokeLoader injecte la charge malveillante dans le processus explorer.exe et déploie Amadey sur le système compromis. 

Notamment, la dernière version 3.21 d’Amadey Bot est capable d’identifier environ 14 produits antivirus et d’échapper à la détection tout en gagnant en persistance sur l’hôte. Après avoir collecté des informations sur le système, Amadey largue des malwares supplémentaires, incluant divers voleurs d’informations, tels que RedLine. Les charges malveillantes sont récupérées et exécutées avec contournement de l’UAC et élévation de privilèges. De plus, PowerShell est utilisé pour exclure Windows Defender et garantir une installation discrète.

Pour prévenir l’infection d’Amadey Bot et de SmokeLoader, les utilisateurs sont encouragés à éviter d’utiliser des cracks de logiciels et des générateurs de clés illégitimes. De plus, les praticiens de la sécurité peuvent améliorer leurs capacités de détection des menaces et la vélocité de chasse aux menaces en s’inscrivant sur la plateforme Detection as Code de SOC Prime. La plateforme regroupe plus de 200,000 algorithmes de détection pour les menaces existantes et émergentes livrées dans un délai de 24 heures et permet de rester un pas en avance sur les attaquants. Les Chasseurs de Menaces et les Analystes de Sécurité expérimentés sont invités à rejoindre notre Programme de Bounty pour les Menaces pour soumettre leurs règles Sigma et recevoir des paiements récurrents tout en contribuant à la défense collaborative contre les cybermenaces. 

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection de Porte Dérobée MQsTTang : Nouveau Malware Personnalisé par Mustang Panda APT Activement Utilisé dans la Dernière Campagne Contre des Entités Gouvernementales
Blog, Dernières Menaces — 5 min de lecture
Détection de Porte Dérobée MQsTTang : Nouveau Malware Personnalisé par Mustang Panda APT Activement Utilisé dans la Dernière Campagne Contre des Entités Gouvernementales
Daryna Olyniychuk
Détection de MagicWeb : NOBELIUM APT utilise un contournement d’authentification sophistiqué
Blog, Dernières Menaces — 4 min de lecture
Détection de MagicWeb : NOBELIUM APT utilise un contournement d’authentification sophistiqué
Anastasiia Yevdokimova
Détection de Malware sur PyPi : Vol de Tokens Discord pour Propager des Logiciels Malveillants
Blog, Dernières Menaces — 3 min de lecture
Détection de Malware sur PyPi : Vol de Tokens Discord pour Propager des Logiciels Malveillants
Anastasiia Yevdokimova