Campagne AsyncRAT Presentano il Cryptère 3LOSH Che Offusca i Payload
Indice:
Le campagne in corso di distribuzione di malware diffondono AsyncRAT, incluso il crypter 3LOSH nei repository pubblici. La recente ricerca sulla cybersecurity analizza l’ultima versione di 3LOSH che viene utilizzata dagli avversari per eludere il rilevamento sui dispositivi in ambienti aziendali. Oltre ad AsyncRAT, diversi altri ceppi di malware commerciali possono essere distribuiti dallo stesso operatore. Lo scopo di questo aumento nell’uso dei crypter è quello di incrementare l’efficacia operativa dei RAT e, di conseguenza, esfiltrare dati sensibili.
Gli analisti della sicurezza avvertono le organizzazioni che gli attacchi informatici potrebbero essere sfruttati da diversi attori, mentre la complessità di strumenti come il crypter 3LOSH viene continuamente aggiornata e migliorata. Vedi le nostre ultime rilevazioni qui sotto, che aiutano a individuare l’attività più recente del crypter 3LOSH.
3LOSH Builder/Crypter Rilevamento
La nuova regola di rilevamento basata su Sigma scritta dal nostro prolifico Threat Bounty Developer Kyaw Pyiyt Htet riconosce una possibile esecuzione di 3LOSH basata sulla disponibilità di determinati file dannosi:
Esecuzione sospetta di 3LOSH (AsyncRAT) RAT tramite rilevamento di file dannosi (file_event)
Questa regola può essere convertita automaticamente nelle seguenti soluzioni di sicurezza: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, Devo, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Qualys, AWS OpenSearch.
La regola Sigma è mappata all’ultima versione di MITRE ATT&CK®, affrontando la tattica di Esecuzione e la tecnica del Comando e Interprete di Script (T1059).
Poiché AsyncRAT e 3LOSH nelle loro versioni precedenti sono stati individuati dai specialisti di intelligence sulle minacce in precedenza, puoi approfittare delle nostre rilevazioni precedenti e vedere se c’è qualcos’altro che dovresti aggiungere alla tua routine di caccia alle minacce. Se hai il tuo approccio esclusivo per rilevare le minacce informatiche e desideri condividere la tua esperienza con il mondo, sei caldamente invitato a unirti alla nostra iniziativa di crowdsourcing.
Visualizza Rilevamenti Unisciti a Threat Bounty
Payload di AsyncRAT e Analisi di 3LOSH
Un processo di infezione multistadio sfruttato da AsyncRAT inizia con il codice VBScript eseguito da un file ISO. Il VBS utilizza dati spazzatura nei suoi contenuti per offuscare il codice che esegue con l’aiuto della sostituzione di stringhe. Dopo la deoffuscazione del codice, questo VBS contatta un server C&C per recuperare uno script PowerShell per abilitare le prossime fasi dell’esecuzione del RAT.
Durante queste fasi, il malware potrebbe scegliere diverse posizioni di directory e usare diversi nomi di file che sono, tuttavia, funzionalmente equivalenti. Alla fine, lo script esegue una scansione del sistema della vittima, quindi crea una directory di lavoro per il malware in una certa posizione che assomiglia a qualcosa di comune come C:ProgramDataFacebookSystem32MicrosoftSystemData.
Dopo di che, vengono creati script aggiuntivi, attivando l’esecuzione del file “Office.vbs” e passando alla fase successiva del processo di infezione. La maggior parte degli obiettivi del RAT viene realizzata in questa terza fase. Ad esempio, per stabilire la persistenza, un altro script PowerShell crea e esegue immediatamente un nuovo Compito Pianificato con il nome “Office” e lo ripete ogni due minuti. Il payload finale può variare, tuttavia la maggior parte dei campioni analizzati erano AsyncRAT e LimeRAT.
I ricercatori concludono che il crypter 3LOSH è un crypter malware attualmente in fase di sviluppo attivo, diffuso incorporato in diversi RAT di consumo. Quindi la strategia di rilevamento efficace dovrebbe includere la capacità di individuare il crypter indipendentemente dai payload finali. Unisciti alla piattaformaSOC Prime’s Detection as Codeper rimanere continuamente aggiornato sui nuovi contenuti di rilevamento e tenerti al passo con le minacce attuali.
