Contenu de Chasse aux Menaces : Détection de DropboxAES RAT

Aujourd’hui, nous voulons vous parler du cheval de Troie DropboxAES utilisé par le groupe APT31 dans des campagnes de cyberespionnage et également vous fournir un lien vers la règle Sigma de la communauté pour détecter ce malware.

En général, DropboxAES ne se distingue pas des autres chevaux de Troie d’accès à distance. C’est un outil relativement nouveau dans l’arsenal d’APT31 (également connu sous le nom de BRONZE VINEWOOD). Le malware doit son nom à l’utilisation du service de partage de fichiers Dropbox pour ses communications de commande et de contrôle. Le groupe APT31 a précédemment déployé le cheval de Troie avec le malware HanaLoader, mais plus à ce sujet dans nos prochains articles de blog. Le chargeur utilise la technique de DLL Search Order Hijacking pour exécuter la charge utile finale. DropboxAES RAT permet aux adversaires de télécharger des fichiers de l’hôte infecté vers le serveur C&C, télécharger des fichiers du serveur C&C vers l’hôte infecté, exécuter des commandes sur l’hôte infecté via un shell inversé basé sur la ligne de commande non interactive, télécharger des informations système basiques sur l’hôte compromis vers le serveur C&C, et se supprimer complètement du système infecté.

Des chercheurs ont découvert le cheval de Troie lors d’une campagne ciblant des organisations juridiques, de conseil et de développement logiciel. Ils pensent que les attaquants sont intéressés par les chaînes d’approvisionnement gouvernementales ou de défense. 

APT31 est un acteur de la menace chinois spécialisé dans le vol de propriété intellectuelle, se concentrant sur les données et projets qui rendent une organisation particulière compétitive dans son domaine. 

Ariel Millahuel a publié une nouvelle règle de recherche des menaces qui révèle la présence de ce malware persistant dans le réseau d’une organisation : https://tdm.socprime.com/tdm/info/LshSYr8uLWtf/SbsfKXMBPeJ4_8xcqH6l/?p=1

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR : Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK : 

Tactiques : Persistance

Techniques : Clés de registre de démarrage / Dossier de démarrage (T1060)